Một dịch vụ ransomware (mã độc tống tiền) mới có tên Eldorado xuất hiện dưới dạng cung cấp dịch vụ cho các đối tác liên kết đang tấn công hệ thống Windows và máy ảo VMware ESXi.
Mã độc này xuất hiện từ tháng 3 và đã có 16 nạn nhân bị tấn công, chủ yếu ở Mỹ, hoạt động trong lĩnh vực bất động sản, giáo dục, y tế và sản xuất.
Eldorado là một ransomware mới và hoàn toàn độc lập. Nó sử dụng ngôn ngữ Go để tấn công đa nền tảng. Phần mềm độc hại này mã hóa file bằng thuật toán ChaCha20 và tạo một khóa duy nhất dài 32 byte và một nonce dài 12 byte cho mỗi tệp bị khóa. Các khóa sau đó được mã hóa bằng RSA-OAEP.
Sau khi mã hóa, file sẽ bị đổi đuôi thành ".00000001" và ghi chú tống tiền có tên “HOW_RETURN_YOUR_DATA.TXT” sẽ được thêm vào thư mục Documents và Desktop.
Đặc biệt, Eldorado có khả năng tùy biến để tấn công vào các thư mục cụ thể. Thậm chí mã độc này được cài đặt mặc định ở chế độ tự xóa để tránh bị người dùng phát hiện và phân tích bởi các nhóm ứng cứu sự cố.
Để phòng tránh ransomware nói chung và Eldorado nói riêng, các chuyên gia khuyến cáo người dùng khẩn trương triển khai các biện pháp phòng thủ sau:
- Thực hiện giải pháp xác thực đa yếu tố (MFA) và truy cập dựa trên thông tin xác thực.
- Sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại và tránh mất dữ liệu.
- Thường xuyên update các bản vá bảo mật để khắc phục các lỗ hổng.
- Phát hiện và ngăn chặn xâm nhập nhanh chóng bằng cách sử dụng phân tích dựa trên AI và giải pháp phát hiện phần mềm độc hại nâng cao.
- Nhanh chóng xác định và phản ứng với các dấu hiệu ransomware bằng cách sử dụng Endpoint Detection and Response (EDR).
- Đào tạo nhân viên cách nhận biết và báo cáo các mối đe dọa an ninh mạng.
- Tiến hành kiểm tra kỹ thuật hoặc đánh giá bảo mật thường xuyên và định kỳ.
- Từ chối trả tiền chuộc vì việc phục hồi dữ liệu rất khó khăn và có thể dẫn đến nhiều cuộc tấn công hơn.