Cảnh báo khẩn: Mã độc mới Eldorado đang đe dọa các cơ quan, tổ chức tại Việt Nam

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam vừa phát đi cảnh báo khẩn về loại mã độc mã hóa dữ liệu (Ransomware) mới có tên Eldorado đang có nguy cơ tấn công vào các hệ điều hành Windows và Linux đang được sử dụng phổ biến hiện nay.

Thông báo mới phát đi của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam gửi các cơ quan, tổ chức và doanh nghiệp trên toàn quốc cho biết, Eldorado là một loại ransomware mới dạng dịch vụ RaaS mới.

Eldorado là mã độc được viết bằng ngôn ngữ lập trình Go, có khả năng mã hóa cả các hệ điều hành Windows và Linux thông qua 2 biến thể riêng biệt có sự tương đồng vận hành rộng rãi. Thông qua thuật toán ChaCha20, mã độc sẽ tiến hành mã hóa các tệp, thêm phần mở rộng “.00000001” và ghi chú tiền chuộc có tên “HOW_RETURN_YOUR_DATA.TXT” được đưa vào thư mục Documents và Desktop của nạn nhân.

Ransomware Eldorado mã hóa vào các hệ thống như Windows với các cơ chế chống khôi phục dữ liệu đang là mối đe dọa tiềm ẩn đối với hệ thống mạng của các cơ quan, tổ chức và doanh nghiệp trong nước.

Eldorado cũng có các cơ chế để tối đa hóa tác động của nó, xóa các bản sao ổ đĩa bóng trên các máy Windows bị xâm phạm và ngăn chặn việc khôi phục dữ liệu. Nguy hiểm hơn, ransomware này còn được thiết lập mặc định để tự xóa, với mục đích tránh bị phát hiện và phân tích.

Mã độc này có khả năng mã hóa các tệp trên cả hệ thống Windows và VMware ESXi, gây gián đoạn hoạt động của các máy chủ và máy trạm; điều này có thể dẫn đến tình trạng không thể truy cập dữ liệu và dịch vụ quan trọng, làm gián đoạn hoạt động kinh doanh của tổ chức, doanh nghiệp.

Tác động của Eldorado khá nguy hiểm bởi, trình quản lý ảo VMware ESXi và hệ điều hành Windows được sử dụng khá phổ biến tại Việt Nam, nếu bị tấn công trên diện rộng, tác hại sẽ rất khó lường.

Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam khuyến nghị các cơ quan, tổ chức và doanh nghiệp tăng cường các biện pháp phòng ngừa, ứng cứu để chống lại ransoware Eldorado bao gồm: triển khai xác thực đa yếu tố cũng như các giải pháp truy cập dựa trên thông tin xác thực; sử dụng tính năng giám sát an ninh hệ thống EDR để nhanh chóng xác định và phản hồi các chỉ báo về phần mềm mã hóa dữ liệu tống tiền; sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại và mất dữ liệu.

Trung tâm cũng khuyến khích quản trị viên hệ thống mạng của các đơn vị sử dụng các giải pháp phân tích dựa trên trí tuệ nhân tạo - AI và công nghệ phát hiện phần mềm độc hại tiên tiến để phát hiện và phản hồi xâm nhập theo thời gian thực; chú trọng việc định kỳ cập nhật các bản vá bảo mật để khắc phục lỗ hổng của hệ thống.

Các chuyên gia của Trung tâm cũng đặc biệt nhấn mạnh, các cơ quan, đơn vị không nên trả tiền chuộc vì điều này hiếm khi đảm bảo khôi phục dữ liệu và có thể dẫn đến nhiều cuộc tấn công hơn.

 

Eldorado là cái tên mới nhất trong danh sách các phần mềm tống tiền kép mới nổi lên trong thời gian gần đây, bao gồm Arcus Media , AzzaSec , Brain Cipher , dan0n , Limpopo (hay còn gọi là SOCOTRA, FORMOSA, SEXi), LukaLocker , Shinra và Space Bears... Sự xuất hiện của hàng loạt mã độc tống tiền một lần nữa cho thấy bản chất dai dẳng của mối đe dọa này đối với sự an toàn của các cơ quan, tổ chức và doanh nghiệp.

Mã độc này lần đầu được phát hiện bởi Group-IB, một tổ chức an ninh mạng có trụ sở tại Singapore vào ngày 16/3/2024, khi những kẻ đứng sau Eldorado quảng bá dịch vụ này trên diễn đàn ransomware RAMP và tìm kiếm những thành viên có kỹ năng tham gia các chiến dịch tấn công mạng. Công ty an ninh mạng đã xâm nhập vào nhóm ransomware này lưu ý rằng phần mềm độc hại này không trùng lặp với các biến thể đã bị rò rỉ trước đó như LockBit hoặc Babuk.

"Sự phát triển liên tục của các chủng ransomware mới và sự xuất hiện của các chương trình liên kết tinh vi cho thấy mối đe dọa này còn lâu mới được ngăn chặn", Group-IB lưu ý. "Các tổ chức phải luôn cảnh giác và chủ động trong các nỗ lực an ninh mạng của mình để giảm thiểu rủi ro do các mối đe dọa không ngừng phát triển này gây ra".

Bộ mã hóa cho Eldorado có bốn định dạng, cụ thể là esxi, esxi_64, win và win_64, trang web rò rỉ dữ liệu của nó đã liệt kê 16 nạn nhân tính đến tháng 6/2024. Đã có 13 mục tiêu nhắm vào các tổ chức, doanh nghiệp ở Mỹ, 2 ở Ý và một ở Croatia. Các công ty này hoạt động trong nhiều ngành khác nhau như bất động sản, giáo dục, dịch vụ chuyên nghiệp, chăm sóc sức khỏe và sản xuất, cùng nhiều ngành khác.