Zveřejněna analýza ransomwaru LockBit 3.0

Během 3 týdnů od 24. března do prvního dubnového týdne letošního roku zaznamenal vietnamský kyberprostor po sobě jdoucí cílené útoky v podobě ransomwaru na velké vietnamské podniky působící v důležitých oblastech, jako jsou finance, cenné papíry, energetika, telekomunikace atd. Tyto útoky způsobily, že systémy podniků byly na určitou dobu pozastaveny, což způsobilo značné ekonomické a reputační škody jednotkám, jejichž systémy se staly cílem kyberzločinných skupin.

Během analýzy a vyšetřování příčin a skupin subjektů, které v poslední době napadly informační systémy vietnamských podniků, úřady zjistily, že tyto incidenty byly „produktem“ mnoha různých útočných skupin, jako jsou LockBit, BlackCat, Mallox... Zejména v případě útoku ransomwaru na systém VNDIRECT v 10:00 hodin 24. března, který zašifroval všechna data podniků z první trojky vietnamského akciového trhu, úřady identifikovaly skupinu LockBit s malwarem LockBit 3.0 jako osobu stojící za tímto incidentem.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Národní centrum kybernetické bezpečnosti, oddělení A05 ( Ministerstvo veřejné bezpečnosti ), potvrdilo, že útok na systém cenné papíry společnosti VNDIRECT v březnu 2024 provedl kyberzločinec LockBit 3.0.

Skupina LockBit po celém světě zahájila mnoho ransomwarových útoků zaměřených na velké podniky a organizace. Například v roce 2023, v červnu a říjnu, tato nechvalně známá ransomwarová skupina zaútočila na společnost TSMC (Taiwan, Čína) zabývající se výrobou polovodičů a CDW, která se zabývá produkty a službami informačních technologií. Skupina Lockbit požadovala od firem zaplatit výkupné za data ve výši 70–80 milionů USD.

S cílem pomoci agenturám, organizacím a podnikům ve Vietnamu lépe pochopit úroveň nebezpečí a způsoby, jak předcházet a minimalizovat rizika spojená s útoky ransomwaru obecně, jakož i s útoky skupiny LockBit, Národní monitorovací centrum kybernetické bezpečnosti - NCSC v rámci Ministerstva informační bezpečnosti (Ministerstva informací a komunikací) právě shrnulo informační zdroje o kyberprostoru a vydalo „Analytickou zprávu o ransomwaru LockBit 3.0“.

Nejnebezpečnější ransomwarová skupina na světě

Nová zpráva vypracovaná NCSC se zaměřuje na 4 hlavní body, včetně: informací o útočné skupině ransomwaru LockBit; aktivních klastrů LockBit; seznamu zaznamenaných indikátorů kybernetických útoků souvisejících s LockBit 3.0; a jak předcházet rizikům ransomwarových útoků a minimalizovat je.

Zpráva NCSC označila LockBit za jednu z nejnebezpečnějších ransomwarových skupin na světě a také uvádí, že od svého prvního objevení v roce 2019 provedla LockBit řadu útoků zaměřených na podniky a organizace v různých odvětvích. Skupina funguje na základě modelu „Ransomware jako služba (RaaS)“, který umožňuje útočníkům nasazovat ransomware a dělit se o zisky s těmi, kteří za touto službou stojí.

ransomware lockbit.jpg
Podle odborníků je LockBit jednou z nejnebezpečnějších ransomwarových skupin na světě. Ilustrace: Bkav

Je pozoruhodné, že v září 2022 unikl zdrojový kód LockBit 3.0, včetně některých jmen, která by mohla být použita k vývoji tohoto ransomwaru, osobou jménem „ali_qushji“ na platformě X (dříve Twitter). Únik umožnil odborníkům dále analyzovat vzorek ransomwaru LockBit 3.0, ale od té doby útočníci vytvořili vlnu nových variant ransomwaru založených na zdrojovém kódu LockBit 3.0.

Spolu s analýzou metod útoku aktivních ransomwarových klastrů LockBit, jako jsou TronBit, CriptomanGizmo nebo Tina Turnet, zpráva NCSC také poskytuje jednotkám seznam zaznamenaných indikátorů kybernetických útoků souvisejících s LockBit 3.0. „Informace o indikátorech IOC budeme průběžně aktualizovat na stránce alert.khonggianmang.vn národního kybernetického portálu,“ uvedl expert NCSC.

Obzvláště důležitou částí zmíněnou ve „Zprávě o analýze ransomwaru LockBit 3.0“ je obsah, který agenturám, organizacím a podnikům poskytuje návod, jak předcházet a minimalizovat rizika spojená s útoky ransomwaru. Důležité poznámky na podporu jednotek ve Vietnamu při prevenci a reakci na útoky ransomwaru zmínilo Ministerstvo informační bezpečnosti v „Příručce o některých opatřeních k prevenci a minimalizaci rizik spojených s útoky ransomwaru“, která byla vydána 6. dubna, a experti NCSC je nadále doporučují k implementaci.

W-anti-ransomware-attack-1.jpg
Neustálé monitorování za účelem včasného odhalení narušení systému je jedním z devíti opatření, která oddělení informační bezpečnosti doporučuje organizacím zavést k prevenci útoků ransomwaru. Ilustrační foto: Khanh Linh

Podle odborníků dnes ransomwarové útoky často začínají na základě bezpečnostní slabosti agentury nebo organizace. Útočníci pronikají do systému, udržují si svou přítomnost, rozšiřují rozsah narušení, ovládají IT infrastrukturu organizace a paralyzují systém s cílem donutit skutečné oběti, organizace, aby zaplatily výkupné, pokud chtějí obnovit šifrovaná data.

V době, kdy před 5 dny došlo k útoku na systém VNDIRECT, zástupce odboru informační bezpečnosti sdělil reportérům VietNamNet , že z pohledu jednotky zapojené do koordinace podpůrných aktivit v oblasti reakce na incidenty je tento incident důležitým ponaučením pro zvýšení povědomí o bezpečnosti sítí a zabezpečení organizací a podniků ve Vietnamu.

Proto agentury, organizace a podniky, zejména ty, které působí v důležitých oblastech, jako jsou finance, bankovnictví, cenné papíry, energetika, telekomunikace atd., musí naléhavě a proaktivně přezkoumat a posílit stávající bezpečnostní systémy i profesionální personál a zároveň vypracovat plány reakce na incidenty.

„Organizace musí striktně dodržovat vydané předpisy, požadavky a směrnice týkající se informační bezpečnosti a síťové bezpečnosti. Je odpovědností každé organizace a podniku chránit sebe a své zákazníky před potenciálními kybernetickými útoky,“ zdůraznil zástupce oddělení informační bezpečnosti.

Ransomware LockBit byl nejprve známý jako ABCD podle přípony šifrovaného souboru a o několik měsíců později se objevila varianta ABCD se současným názvem Lockbit. O rok později skupina vydala vylepšenou verzi LockBit 2.0 (známou také jako LockBit Red), která obsahovala další integrovaný malware s názvem StealBit za účelem krádeže citlivých dat. LockBit 3.0, známá také jako LockBit Black, je nejnovější verze, vydaná v roce 2022 s novými funkcemi a vylepšenými technikami úniku.
Proč se systém PVOIL dokáže po útoku ransomwaru rychle zotavit?

Proč se systém PVOIL dokáže po útoku ransomwaru rychle zotavit?

Kromě nepříliš velké velikosti systému je důležitým faktorem pro rychlou opravu útoku ransomwaru a obnovení provozu PVOIL po několika dnech i zálohování dat.
Formování bezpečnostní kultury pro zvýšení obranyschopnosti proti útokům ransomwaru

Formování bezpečnostní kultury pro zvýšení obranyschopnosti proti útokům ransomwaru

Podle společnosti CDNetworks Vietnam mohou firmy zvýšit svou obranu proti kybernetickým útokům, včetně útoků ransomwaru, investicemi do školení zaměstnanců, formováním bezpečnostní kultury a podporou spolupráce mezi zaměstnanci a bezpečnostním týmem.
Placení výkupného povzbudí hackery ke zvýšení počtu útoků ransomwaru

Placení výkupného povzbudí hackery ke zvýšení počtu útoků ransomwaru

Odborníci se shodují, že organizace napadené ransomwarem by neměly hackerům platit výkupné. To by hackery povzbudilo k útokům na jiné cíle nebo povzbudilo další hackerské skupiny k pokračování v útocích na jejich systém.