มีการแจ้งเตือนจากทีมรักษาความปลอดภัยของ Group-IB ได้พบการโจมตีแบบ Ransomware-as-a-Service (RaaS) ที่ใช้ชื่อว่า Eldorado
โดยมีกลุ่มเป้าหมายเป็นกลุ่มผู้ใช้งาน Windows และ VMware ESXI VMs มีการพบการแจ้งเหตุการณ์นี้ไปยัง CISA ของสหรัฐฯ ว่าบริษัท หรือหน่วยงานของตนนั้นถูกโจมตีด้วย Eldorado แล้วถึง 16 รายแต่ส่วนมากอยู่ในสหรัฐ ในภาคของ อสังหา การศีกษา สุขภาพ และสายการผลิต
ทีมรักษาความปลอดภัยของ Group-IB ได้มีการติดตามการดำเนินกิจกรรมของกลุ่ม Eldorado พบว่ามีการโปรโมตการให้บริการ RaaS Eldorado ผ่านทาง Forum RAMPและเปิดให้ผู้ทีมีความสามารถในเรื่องของการเจาะระบบเข้าร่วมทีม ด้วยการโปรโมตว่า Eldorado ได้ทำการโจมตีไปยังหน่วยงานต่าง ๆ ในสหรัฐ ฯ อิตาลี และ โครเอเชีย
การโจมตีบน Windows และ Linux
Eldorado เป็น Ransomware ที่ใช้ Go ซึ่งสามารถเข้ารหัสได้บนแพลต์ฟอร์ม Windows และ Linux ผ่านวิธีการต่าง ๆ กันไปแต่การทำงานเหมือนกันพร้อมทั้งยังกล่าวอีกว่า
Eldoraro นั้นเป็น Malware ที่มีความเป็นเอกเทศน์สูง เพราะพัฒนาด้วยตนเองและไม่สนใจแหล่งความรู้อื่น ๆ เมื่อถูกเข้ารหัส Eldorado คำขู่มาในรูปแบบ Text ไฟล์จะถูกวางใว้ที่ Desktop
Eldorado ยังเข้ารหัสการแชร์เครือข่ายโดยใช้โปรโตคอลการสื่อสาร SMB เพื่อเพิ่มผลกระทบให้สูงสุดและจะลบ Shadow Copy เพื่อป้องกันการกู้คืนอีกครั้งและรวมไปถึงไฟล์จำพวก
.DLL, .LNk, .SYS, .EXE ตลอดจนไฟล์ Directory ที่เกี่ยวกับการบูจและฟังก์ชั่นพื้นฐานเพื่อไม่ให้เป้าหมายทำอะไรกับเครื่องได้เลย
วิธีการป้องกัน Malware Eldorado ที่สามารถป้องกันได้ในระดับหนึ่งมีวิธีการดังนี้:
- เปิดใช้งานระบบตรวจสอบหลายปัจจุบัย Multifactor Autentication
- เปิดใช้งาน Endpoint Detection and Response (EDR)
- ทำการ Backup ข้อมูลอยู่สม่ำเสมอ
- Update Patch ของระบบต่าง ๆ ให้เป็นปัจจุบันสม่ำเสมอ
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น