Πόσο επικίνδυνη είναι η επίθεση ransomware Lockbit 3.0 στο VNDIRECT;

Κυκλοφορία της αναφοράς ανάλυσης του ransomware LockBit 3.0.

Μεταξύ 24 Μαρτίου και πρώτης εβδομάδας του Απριλίου του τρέχοντος έτους, ο κυβερνοχώρος του Βιετνάμ έγινε μάρτυρας μιας σειράς στοχευμένων επιθέσεων ransomware που στόχευαν μεγάλες βιετναμέζικες επιχειρήσεις που δραστηριοποιούνταν σε κρίσιμους τομείς όπως τα χρηματοοικονομικά, οι κινητές αξίες, η ενέργεια και οι τηλεπικοινωνίες. Αυτές οι επιθέσεις προκάλεσαν διαταραχές του συστήματος για ένα χρονικό διάστημα, με αποτέλεσμα σημαντικές οικονομικές απώλειες και ζημία στη φήμη των στοχευμένων οντοτήτων.

Μέσω της διαδικασίας ανάλυσης και διερεύνησης των αιτιών και των ομάδων που έχουν πρόσφατα επιτεθεί στα συστήματα πληροφοριών των βιετναμέζικων επιχειρήσεων, οι αρχές διαπίστωσαν ότι αυτά τα περιστατικά είναι «προϊόντα» διαφόρων ομάδων επίθεσης όπως οι LockBit, BlackCat, Mallox κ.λπ. Συγκεκριμένα, όσον αφορά την επίθεση ransomware στο σύστημα της VNDIRECT στις 10:00 π.μ. στις 24 Μαρτίου, η οποία κρυπτογράφησε όλα τα δεδομένα μιας εταιρείας που κατατάχθηκε μεταξύ των 3 κορυφαίων στο χρηματιστήριο του Βιετνάμ, οι αρχές έχουν αναγνωρίσει την LockBit και το κακόβουλο λογισμικό LockBit 3.0 ως τους δράστες.

Σε παγκόσμιο επίπεδο , η ομάδα LockBit έχει εξαπολύσει πολυάριθμες επιθέσεις ransomware που στοχεύουν μεγάλες επιχειρήσεις και οργανισμούς. Για παράδειγμα, τον Ιούνιο και τον Οκτώβριο του 2023, αυτή η διαβόητη ομάδα ransomware επιτέθηκε στον κατασκευαστή ημιαγωγών TSMC (Ταϊβάν, Κίνα) και στην εταιρεία προϊόντων και υπηρεσιών πληροφορικής CDW, απαιτώντας λύτρα έως και 70-80 εκατομμύρια δολάρια από αυτές τις επιχειρήσεις.

Με στόχο να βοηθήσει τους οργανισμούς, τις υπηρεσίες και τις επιχειρήσεις στο Βιετνάμ να κατανοήσουν καλύτερα το επίπεδο κινδύνου και τον τρόπο πρόληψης και μετριασμού των κινδύνων από επιθέσεις ransomware γενικά, καθώς και από επιθέσεις του ομίλου LockBit ειδικότερα, το Εθνικό Κέντρο Παρακολούθησης Κυβερνοασφάλειας - NCSC στο πλαίσιο του Υπουργείου Ασφάλειας Πληροφοριών (Υπουργείο Πληροφοριών και Επικοινωνιών) συγκέντρωσε πληροφορίες από διαδικτυακές πηγές και δημοσίευσε την «Έκθεση Ανάλυσης για το LockBit 3.0 Ransomware».

Η πιο επικίνδυνη ομάδα ransomware στον κόσμο.

Η νέα έκθεση του NCSC εστιάζει σε τέσσερα κύρια σημεία, όπως: Πληροφορίες σχετικά με την ομάδα επιθέσεων ransomware LockBit· Ενεργά συμπλέγματα LockBit· Μια λίστα με καταγεγραμμένους δείκτες κυβερνοεπιθέσεων που σχετίζονται με το LockBit 3.0· και Μέθοδοι για την πρόληψη και τον μετριασμό των κινδύνων από επιθέσεις ransomware.

Αναγνωρίζοντας την LockBit ως μία από τις κορυφαίες ομάδες ransomware στον κόσμο, η έκθεση του NCSC ανέφερε επίσης ότι από την αρχική της εμφάνιση το 2019, η LockBit έχει πραγματοποιήσει πολυάριθμες επιθέσεις που στοχεύουν επιχειρήσεις και οργανισμούς σε διάφορους τομείς. Η ομάδα λειτουργεί με βάση το μοντέλο «Ransomware-as-a-Service (RaaS)», επιτρέποντας στους απειλητικούς παράγοντες να αναπτύσσουν ransomware και να μοιράζονται τα κέρδη με όσους βρίσκονται πίσω από την υπηρεσία.

Αξίζει να σημειωθεί ότι τον Σεπτέμβριο του 2022, ο πηγαίος κώδικας του LockBit 3.0, συμπεριλαμβανομένων αρκετών ονομάτων που θα μπορούσαν να χρησιμοποιηθούν για την ανάπτυξη αυτού του ransomware, διέρρευσε από ένα άτομο με το όνομα «ali_qushji» στην πλατφόρμα X (πρώην Twitter). Αυτή η διαρροή επέτρεψε στους ειδικούς να αναλύσουν το ransomware LockBit 3.0 πιο προσεκτικά, αλλά έκτοτε, οι απειλητικοί παράγοντες έχουν δημιουργήσει ένα κύμα νέων παραλλαγών ransomware με βάση τον πηγαίο κώδικα του LockBit 3.0.

Παράλληλα με την ανάλυση των μεθόδων επίθεσης των ενεργών συμπλεγμάτων ransomware LockBit, όπως τα TronBit, CriptomanGizmo και Tina Turnet, η έκθεση του NCSC παρέχει επίσης στις αρμόδιες υπηρεσίες μια λίστα με καταγεγραμμένους δείκτες επίθεσης IOC (Intelligent Operational Crime) που σχετίζονται με το LockBit 3.0. «Θα ενημερώνουμε συνεχώς τους δείκτες IOC στη σελίδα alert.khonggianmang.vn της εθνικής πύλης κυβερνοασφάλειας», δήλωσε ένας ειδικός του NCSC.

Ένα ιδιαίτερα σημαντικό τμήμα της «Έκθεσης Ανάλυσης Ransomware LockBit 3.0» είναι η καθοδήγηση που παρέχεται σε οργανισμούς, οργανισμούς και επιχειρήσεις σχετικά με τον τρόπο πρόληψης και μετριασμού των κινδύνων από επιθέσεις ransomware. Σημαντικές σημειώσεις για την υποστήριξη των βιετναμέζικων οντοτήτων στην πρόληψη και την αντιμετώπιση επιθέσεων ransomware, όπως περιγράφονται από το Τμήμα Κυβερνοασφάλειας στο «Εγχειρίδιο για τα Μέτρα για την Πρόληψη και τον Μετριασμό των Κινδύνων από Επιθέσεις Ransomware» που κυκλοφόρησε στις 6 Απριλίου, εξακολουθούν να συνιστώνται για εφαρμογή από τους ειδικούς του NCSC.

Σύμφωνα με τους ειδικούς, οι τρέχουσες επιθέσεις ransomware συχνά προέρχονται από ένα κενό ασφαλείας εντός ενός οργανισμού. Οι εισβολείς διεισδύουν στο σύστημα, διατηρούν παρουσία, επεκτείνουν την εμβέλειά τους, ελέγχουν την υποδομή IT του οργανισμού και παραλύουν το σύστημα, με στόχο να αναγκάσουν τους οργανισμούς-θύματα να πληρώσουν λύτρα για να ανακτήσουν τα κρυπτογραφημένα δεδομένα τους.

Μιλώντας σε δημοσιογράφους του VietNamNet πέντε ημέρες μετά την επίθεση στο σύστημα VNDIRECT, ένας εκπρόσωπος του Τμήματος Ασφάλειας Πληροφοριών, μιλώντας από την οπτική γωνία της μονάδας που συντόνιζε την αντιμετώπιση του περιστατικού, δήλωσε: Αυτό το περιστατικό αποτελεί ένα σημαντικό μάθημα για την ευαισθητοποίηση σχετικά με την κυβερνοασφάλεια μεταξύ οργανισμών και επιχειρήσεων στο Βιετνάμ.

Συνεπώς, οι φορείς, οι οργανισμοί και οι επιχειρήσεις, ιδίως όσοι δραστηριοποιούνται σε κρίσιμους τομείς όπως τα χρηματοοικονομικά, οι τραπεζικές εργασίες, οι κινητές αξίες, η ενέργεια και οι τηλεπικοινωνίες, πρέπει να επανεξετάσουν και να ενισχύσουν επειγόντως και προληπτικά τόσο τα υπάρχοντα συστήματα ασφαλείας τους όσο και το προσωπικό τους, αναπτύσσοντας παράλληλα σχέδια αντιμετώπισης περιστατικών.

«Οι οργανισμοί πρέπει να συμμορφώνονται αυστηρά με τους κανονισμούς, τις απαιτήσεις και τις οδηγίες σχετικά με την ασφάλεια των πληροφοριών και την κυβερνοασφάλεια που έχουν εκδοθεί. Αυτή είναι η ευθύνη κάθε οργανισμού και επιχείρησης να προστατεύει τον εαυτό του και τους πελάτες του από πιθανούς κινδύνους κυβερνοεπιθέσεων», τόνισε ένας εκπρόσωπος του Τμήματος Ασφάλειας Πληροφοριών.

Γιατί το σύστημα PVOIL κατάφερε να ανακάμψει τόσο γρήγορα μετά από μια επίθεση ransomware;

Εκτός από το σχετικά μικρό μέγεθος του συστήματος, ένας κρίσιμος παράγοντας που επέτρεψε στο PVOIL να επιλύσει γρήγορα την επίθεση ransomware και να επαναφέρει τις λειτουργίες μέσα σε λίγες μόνο ημέρες ήταν τα δεδομένα αντιγράφων ασφαλείας του.

Αναπτύξτε μια κουλτούρα ασφάλειας για την ενίσχυση της άμυνας έναντι επιθέσεων ransomware.

Σύμφωνα με την CDNetworks Vietnam, επενδύοντας στην εκπαίδευση των εργαζομένων, στην καλλιέργεια μιας κουλτούρας ασφάλειας και στην προώθηση της συνεργασίας μεταξύ των εργαζομένων και των ομάδων ασφαλείας, οι επιχειρήσεις μπορούν να ενισχύσουν την άμυνά τους έναντι των κυβερνοεπιθέσεων, συμπεριλαμβανομένων των επιθέσεων ransomware.

Η πληρωμή λύτρων για δεδομένα θα ενθαρρύνει τους χάκερ να αυξήσουν τις επιθέσεις ransomware.

Οι ειδικοί συμφωνούν ότι οι οργανισμοί που έχουν πληγεί από επιθέσεις ransomware δεν θα πρέπει να καταβάλλουν τα λύτρα στους χάκερ. Κάτι τέτοιο θα ενθάρρυνε τους χάκερ να επιτεθούν σε άλλους στόχους ή θα ενθάρρυνε άλλες ομάδες χάκερ να επιτεθούν ξανά στα συστήματα του οργανισμού.