Jak nebezpečný je útok ransomwaru Lockbit 3.0 na VNDIRECT?

Zveřejnění analytické zprávy o ransomwaru LockBit 3.0.

Mezi 24. březnem a prvním týdnem dubna letošního roku byl vietnamský kyberprostor svědkem série cílených útoků ransomwaru zaměřených na velké vietnamské podniky působící v kritických odvětvích, jako jsou finance, cenné papíry, energetika a telekomunikace. Tyto útoky způsobily narušení systémů na určitou dobu, což vedlo k značným ekonomickým ztrátám a poškození reputace cílových subjektů.

Prostřednictvím analýzy a vyšetřování příčin a skupin, které v poslední době útočily na informační systémy vietnamských podniků, úřady zjistily, že tyto incidenty jsou „produkty“ různých útočných skupin, jako jsou LockBit, BlackCat, Mallox atd. Zejména pokud jde o útok ransomwaru na systém VNDIRECT v 10:00 dopoledne 24. března, který zašifroval všechna data společnosti řazené mezi 3 nejlepší na vietnamském akciovém trhu, úřady identifikovaly jako pachatele společnost LockBit a její malware LockBit 3.0.

Skupina LockBit celosvětově zahájila řadu ransomwarových útoků zaměřených na velké podniky a organizace. Například v červnu a říjnu 2023 tato nechvalně známá ransomwarová skupina zaútočila na výrobce polovodičů TSMC (Tchaj-wan, Čína) a společnost CDW, která se zabývá IT produkty a službami, a požadovala od těchto firem výkupné až 70–80 milionů dolarů.

S cílem pomoci agenturám, organizacím a podnikům ve Vietnamu lépe pochopit úroveň nebezpečí a způsoby, jak předcházet rizikům spojeným s útoky ransomwaru obecně, a zejména s útoky skupiny LockBit, a zmírňovat je, shromáždilo Národní monitorovací centrum kybernetické bezpečnosti – NCSC v rámci Ministerstva informační bezpečnosti (Ministerstva informací a komunikací) informace z online zdrojů a vydalo „Analytickou zprávu o ransomwaru LockBit 3.0“.

Nejnebezpečnější ransomwarová skupina na světě.

Nová zpráva NCSC se zaměřuje na čtyři hlavní body, mezi které patří: informace o útočné skupině ransomwaru LockBit; aktivní shluky LockBit; seznam zaznamenaných indikátorů kybernetických útoků souvisejících s LockBit 3.0; a metody prevence a zmírňování rizik spojených s útoky ransomwaru.

Zpráva NCSC označila LockBit za jednu z předních světových ransomwarových skupin a také uvedla, že od svého prvního objevení v roce 2019 provedla LockBit řadu útoků zaměřených na podniky a organizace v různých odvětvích. Skupina funguje na modelu „Ransomware jako služba (RaaS)“, který umožňuje útočníkům nasazovat ransomware a dělit se o zisky s těmi, kteří za touto službou stojí.

Je pozoruhodné, že v září 2022 unikl zdrojový kód LockBit 3.0, včetně několika jmen, která by mohla být použita k vývoji tohoto ransomwaru, osobou jménem „ali_qushji“ na platformě X (dříve Twitter). Tento únik umožnil odborníkům podrobněji analyzovat ransomware LockBit 3.0, ale od té doby útočníci vytvořili vlnu nových variant ransomwaru založených na zdrojovém kódu LockBit 3.0.

Spolu s analýzou metod útoku aktivních ransomwarových klastrů LockBit, jako jsou TronBit, CriptomanGizmo a Tina Turnet, zpráva NCSC poskytuje příslušným agenturám také seznam zaznamenaných indikátorů útoku IOC (Intelligent Operational Crime) souvisejících s LockBit 3.0. „Indikátory IOC budeme průběžně aktualizovat na stránce alert.khonggianmang.vn národního portálu kybernetické bezpečnosti,“ uvedl expert NCSC.

Obzvláště důležitou částí „Zprávy o analýze ransomwaru LockBit 3.0“ jsou pokyny poskytované agenturám, organizacím a podnikům, jak předcházet rizikům ransomwarových útoků a jak je zmírňovat. Důležité poznámky na podporu vietnamských subjektů v prevenci a reakci na ransomwarové útoky, jak je nastínilo oddělení kybernetické bezpečnosti v „Příručce opatření k prevenci a zmírnění rizik ransomwarových útoků“ vydané 6. dubna, jsou i nadále doporučovány k implementaci experty NCSC.

Podle odborníků současné útoky ransomwaru často pramení z bezpečnostní zranitelnosti v rámci organizace. Útočníci infiltrují systém, udržují si přítomnost, rozšiřují svůj dosah, ovládají IT infrastrukturu organizace a ochromují systém s cílem donutit organizace, které se staly obětí, zaplatit výkupné za obnovení jejich šifrovaných dat.

V rozhovoru s reportéry VietNamNet pět dní po útoku na systém VNDIRECT zástupce oddělení informační bezpečnosti z pohledu jednotky koordinující reakci na incident uvedl: „Tento incident je důležitým ponaučením pro zvýšení povědomí o kybernetické bezpečnosti mezi organizacemi a podniky ve Vietnamu.“

Agentury, organizace a podniky, zejména ty, které působí v kritických odvětvích, jako jsou finance, bankovnictví, cenné papíry, energetika a telekomunikace, proto musí naléhavě a proaktivně přezkoumat a posílit své stávající bezpečnostní systémy i personál a zároveň vypracovat plány reakce na incidenty.

„Organizace musí striktně dodržovat vydané předpisy, požadavky a směrnice týkající se informační bezpečnosti a kybernetické bezpečnosti. Je odpovědností každé organizace a podniku chránit sebe a své zákazníky před potenciálními riziky kybernetických útoků,“ zdůraznil zástupce oddělení informační bezpečnosti.

Proč se systém PVOIL dokázal tak rychle zotavit po útoku ransomwaru?

Kromě relativně malé velikosti systému byla klíčovým faktorem, který společnosti PVOIL umožnil rychle vyřešit útok ransomwaru a obnovit provoz během několika dnů, záložní data.

Vypracujte bezpečnostní kulturu pro posílení obrany proti útokům ransomwaru.

Podle společnosti CDNetworks Vietnam mohou firmy posílit svou obranu proti kybernetickým útokům, včetně útoků ransomwaru, investicemi do školení zaměstnanců, podporou bezpečnostní kultury a podporou spolupráce mezi zaměstnanci a bezpečnostními týmy.

Placení výkupného za data povzbudí hackery ke zvýšení počtu útoků ransomwaru.

Odborníci se shodují, že organizace zasažené útoky ransomwaru by neměly hackerům platit výkupné. To by hackery povzbudilo k útokům na jiné cíle nebo k opětovnému útoku na systémy organizace ze strany dalších hackerských skupin.