Trong thời đại công nghệ số ngày càng phát triển, mối đe dọa từ các loại phần mềm độc hại như ransomware ngày càng trở nên phổ biến và nguy hiểm hơn. Gần đây, một nhóm ransomware mới mang tên Eldorado đã xuất hiện và đang nhắm mục tiêu vào các hệ thống Windows và VMware ESXi. Bài viết này sẽ tìm hiểu về nhóm ransomware này, cách chúng hoạt động, và những biện pháp bảo vệ cần thiết để bảo vệ hệ thống của bạn.
Băng nhóm này khẳng định đã có 16 nạn nhân, hầu hết trong số họ ở Hoa Kỳ, thuộc các lĩnh vực bất động sản, giáo dục, y tế và sản xuất.
Các nhà nghiên cứu tại công ty bảo mật Group-IB đang theo dõi hoạt động của nhóm và nhận thấy các tác nhân đe dọa đứng sau nó đang quảng cáo dịch vụ độc hại trên các diễn đàn RAMP.
Eldorado cũng điều hành một trang web rò rỉ dữ liệu liệt kê các nạn nhân nhưng trang này đã ngừng hoạt động vào thời điểm hiện tại.
Eldorado là một phần mềm ransomware dựa trên ngôn ngữ lập trình Go, có thể mã hóa cả nền tảng Windows và Linux thông qua hai biến thể khác nhau với nhiều điểm tương đồng về hoạt động.
Group-IB cho biết rằng Eldorado là một dự án phát triển “không dựa vào các mã nguồn được biên dịch (builder source) đã được công bố trước đó”.
Phần mềm độc hại này sử dụng thuật toán ChaCha20 để mã hóa và tạo một khóa duy nhất dài 32 byte và một nonce dài 12 byte cho mỗi tệp bị khóa. Các khóa và nonce sau đó được mã hóa bằng RSA với sơ đồ Đệm mã hóa bất đối xứng tối ưu (OAEP).
Sau khi mã hóa, các tệp sẽ được thêm phần mở rộng “.00000001” và ghi chú tống tiền có tên “HOW_RETURN_YOUR_DATA.TXT” sẽ được thêm vào thư mục Documents và Desktop.
Eldorado cũng mã hóa các chia sẻ mạng (network shares) bằng cách sử dụng giao thức SMB để tối đa hóa tác động của nó và xóa các bản sao ổ đĩa ẩn trên các máy Windows bị xâm nhập để ngăn chặn quá trình khôi phục dữ liệu.
Ransomware bỏ qua các tệp DLL, LNK, SYS và EXE, cũng như các tệp và thư mục liên quan đến khởi động hệ thống và chức năng cơ bản để ngăn chặn việc hệ thống không thể khởi động hoặc không thể sử dụng được.
Cuối cùng, nó được cài đặt mặc định ở chế độ tự động xóa để tránh việc bị phát hiện và phân tích bởi các nhóm ứng cứu sự cố.
Theo nghiên cứu của Group-IB, những đối tượng tham gia hoạt động này có thể tùy chỉnh các cuộc tấn công của họ. Chẳng hạn trên Windows, họ có thể chỉ định thư mục muốn mã hóa, bỏ qua các tệp cục bộ, mã hóa các chia sẻ mạng tại các vùng mạng (subnet) cụ thể và ngăn việc tự xóa phần mềm độc hại. Tuy nhiên, trên Linux, các tham số tùy chỉnh chỉ dừng lại ở việc đặt các thư mục để mã hóa.
1. Giới Thiệu Về Nhóm Ransomware Eldorado
Ransomware Eldorado được phát hiện lần đầu vào đầu năm 2024. Được đặt tên theo thành phố vàng huyền thoại, nhóm ransomware này không chỉ nhắm vào các hệ thống Windows mà còn tấn công các máy chủ VMware ESXi, một nền tảng ảo hóa phổ biến trong doanh nghiệp.
Eldorado không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng đến hoạt động của các tổ chức và doanh nghiệp. Với khả năng mã hóa dữ liệu và yêu cầu tiền chuộc, nhóm này đã tạo ra những cú sốc lớn cho nhiều công ty trên toàn thế giới.
2. Cách Thức Hoạt Động Của Eldorado
Eldorado sử dụng nhiều phương pháp khác nhau để xâm nhập vào hệ thống, bao gồm:
– Phishing: Email lừa đảo là một trong những phương pháp phổ biến mà Eldorado sử dụng. Các email này thường chứa các liên kết hoặc tệp đính kèm độc hại, khi người dùng nhấp vào hoặc tải xuống, phần mềm độc hại sẽ được cài đặt vào hệ thống.
– Khai Thác Lỗ Hổng Bảo Mật: Eldorado cũng tận dụng các lỗ hổng bảo mật chưa được vá trong phần mềm và hệ điều hành để xâm nhập vào hệ thống. Đây là lý do tại sao việc cập nhật phần mềm thường xuyên là rất quan trọng.
– Remote Desktop Protocol (RDP): Kết nối RDP không an toàn cũng là một lối vào mà Eldorado sử dụng. Khi các quản trị viên không thiết lập các biện pháp bảo mật mạnh mẽ, nhóm này có thể dễ dàng truy cập vào hệ thống.
Sau khi xâm nhập thành công, Eldorado sẽ mã hóa dữ liệu trên máy tính và máy chủ, làm cho chúng không thể truy cập được. Sau đó, chúng sẽ để lại một thông điệp yêu cầu tiền chuộc, đe dọa rằng nếu không trả tiền, dữ liệu sẽ bị xóa hoặc công bố công khai.
3. Tại Sao Windows và VMware ESXi Lại Là Mục Tiêu?
Windows
Windows là hệ điều hành phổ biến nhất trên thế giới, điều này làm cho nó trở thành mục tiêu hấp dẫn đối với các nhóm ransomware. Với hàng triệu máy tính và máy chủ chạy trên nền tảng này, khả năng gây thiệt hại là rất lớn.
VMware ESXi
VMware ESXi là một nền tảng ảo hóa mạnh mẽ và được sử dụng rộng rãi trong doanh nghiệp để tạo và quản lý các máy ảo. Việc tấn công vào hệ thống ESXi có thể gây ra hậu quả nghiêm trọng vì nó ảnh hưởng đến nhiều máy ảo và dịch vụ cùng một lúc.
4. Những Biện Pháp Bảo Vệ Hệ Thống
Cập Nhật Phần Mềm Thường Xuyên
Luôn đảm bảo rằng hệ điều hành và các phần mềm trên máy tính của bạn được cập nhật đầy đủ các bản vá bảo mật. Điều này giúp ngăn chặn các lỗ hổng mà ransomware có thể tận dụng.
Sử Dụng Phần Mềm Diệt Virus
Cài đặt và duy trì các phần mềm diệt virus và chống malware mạnh mẽ. Các phần mềm này có thể phát hiện và ngăn chặn các mối đe dọa trước khi chúng kịp gây hại.
Sao Lưu Dữ Liệu
Thực hiện sao lưu dữ liệu định kỳ và lưu trữ chúng ở các vị trí an toàn, ngoài mạng nội bộ. Trong trường hợp bị tấn công, bạn có thể khôi phục lại dữ liệu mà không cần phải trả tiền chuộc.
Đào Tạo Nhân Viên
Đào tạo nhân viên về các biện pháp an ninh mạng cơ bản, như cách nhận biết email lừa đảo và tầm quan trọng của việc không nhấp vào các liên kết hoặc tải xuống tệp đính kèm không rõ nguồn gốc.
Sử Dụng Xác Thực Hai Yếu Tố (2FA)
Kích hoạt xác thực hai yếu tố cho tất cả các tài khoản và dịch vụ, đặc biệt là các dịch vụ quản trị từ xa như RDP. Điều này thêm một lớp bảo vệ bổ sung, ngăn chặn các cuộc tấn công dựa trên việc đánh cắp mật khẩu.
5. Kết Luận
Nhóm ransomware Eldorado mới đang là mối đe dọa lớn đối với các hệ thống Windows và VMware ESXi. Với những biện pháp bảo vệ phù hợp, chúng ta có thể giảm thiểu rủi ro và bảo vệ hệ thống khỏi các cuộc tấn công độc hại. Việc cập nhật phần mềm thường xuyên, sử dụng phần mềm diệt virus, sao lưu dữ liệu định kỳ, đào tạo nhân viên, và sử dụng xác thực hai yếu tố là những bước cơ bản nhưng quan trọng để đảm bảo an toàn cho hệ thống của bạn.
Trong bối cảnh mối đe dọa từ ransomware ngày càng gia tăng, việc nâng cao nhận thức và thực hiện các biện pháp bảo vệ sẽ giúp chúng ta tránh được những hậu quả nghiêm trọng do các cuộc tấn công mạng gây ra. Hãy luôn cảnh giác và bảo vệ hệ thống của bạn trước mọi nguy cơ.
