Theo trang bleepingcomputer, một dịch vụ ransomware (mã độc tống tiền) dưới dạng cung cấp dịch vụ cho các đối tác liên kết có tên Eldorado đã xuất hiện và đang tấn công hệ thống Windows và máy ảo VMware ESXi.
Dịch vụ này có mặt vào tháng 3, nhóm cung cấp dịch vụ tuyên bố có 16 nạn nhân đã bị tấn công, chủ yếu ở Mỹ, hoạt động trong lĩnh vực bất động sản, giáo dục, y tế và sản xuất.
Các nhà nghiên cứu tại Group-IB - công ty an ninh mạng có tiếng tại Nga - cho biết nhóm này đang tìm kiếm thêm thành viên tham gia khi hoạt động quảng cáo của Eldorado xuất hiện trên nhiều diễn đàn.
Eldorado là một ransomware độc lập và hoàn toàn mới, sử dụng ngôn ngữ Go để tấn công đa nền tảng, mã hóa file bằng thuật toán ChaCha20 và khóa mã hóa bằng RSA-OAEP. Sau khi mã hóa, file sẽ bị đổi đuôi thành ".00000001" và lưu lại hướng dẫn đòi tiền chuộc.
Đặc biệt, Eldorado có khả năng tùy biến để tấn công vào các thư mục cụ thể, nhắm vào các thư mục chia sẻ trên mạng và thậm chí tự xóa để tránh bị người dùng phát hiện.
Thông báo đòi tiền chuộc của Eldorado. Nguồn: Group-IB
Để phòng tránh ransomware nói chung và Eldorado nói riêng, các chuyên gia khuyến cáo người dùng khẩn trương sử dụng xác thực đa yếu tố (MFA) bằng cách yêu cầu nhiều lớp xác thực để đăng nhập vào hệ thống.
Sử dụng hệ thống phát hiện và phản hồi các mối nguy hại tại điểm cuối (Endpoint Detection and Response). Sao lưu dữ liệu thường xuyên nhằm giúp giảm thiểu thiệt hại khi bị tấn công.
Ngoài ra, sử dụng công cụ AI để phân tích, phát hiện xâm nhập và phản ứng kịp thời; cập nhật bản vá lỗi bảo mật; đào tạo nhân viên nhận biết và báo cáo các mối đe dọa an ninh mạng; không trả tiền chuộc vì tỉ lệ khôi phục dữ liệu gần như rất ít và có thể dẫn đến nhiều cuộc tấn công hơn.
và quét mã QR
Bình luận (0)