¿Qué tan peligroso es el ransomware Lockbit 3.0 que ataca a VNDIRECT?

Se publica el informe de análisis del ransomware LockBit 3.0

Durante las 3 semanas del 24 de marzo a la primera semana de abril de este año, el ciberespacio de Vietnam registró ataques selectivos consecutivos en forma de ransomware contra grandes empresas vietnamitas que operan en campos importantes como finanzas, valores, energía, telecomunicaciones, etc. Estos ataques provocaron que los sistemas de las empresas se suspendieran por un período de tiempo, causando un daño económico y de reputación significativo a las unidades cuyos sistemas fueron atacados por grupos cibercriminales.

Durante el proceso de análisis e investigación de las causas y grupos de sujetos que han atacado recientemente los sistemas de información de las empresas vietnamitas, las autoridades encontraron que estos incidentes fueron "productos" de muchos grupos de ataque diferentes como LockBit, BlackCat, Mallox... En particular, con el ataque de ransomware al sistema VNDIRECT a las 10:00 a.m. del 24 de marzo, que cifró todos los datos de las empresas en el top 3 del mercado de valores vietnamita, las autoridades identificaron al grupo LockBit con el malware LockBit 3.0 como detrás de este incidente.

A nivel mundial , el grupo LockBit ha lanzado numerosos ataques de ransomware dirigidos a grandes empresas y organizaciones. Por ejemplo, en junio y octubre de 2023, respectivamente, este conocido grupo atacó a la empresa de fabricación de semiconductores TSMC (Taiwán, China) y a la empresa de productos y servicios de tecnología de la información CDW, exigiendo a las empresas un rescate de entre 70 y 80 millones de dólares por datos.

Con el deseo de ayudar a las agencias, organizaciones y empresas en Vietnam a comprender mejor el nivel de peligro y cómo prevenir y minimizar los riesgos de los ataques de ransomware en general, así como los ataques del grupo LockBit, el Centro Nacional de Monitoreo de Seguridad Cibernética - NCSC bajo el Departamento de Seguridad de la Información (Ministerio de Información y Comunicaciones) acaba de sintetizar fuentes de información sobre el ciberespacio y publicó el 'Informe de análisis sobre ransomware LockBit 3.0'.

El grupo de ransomware más peligroso del mundo

El nuevo informe realizado por NCSC se centra en proporcionar cuatro contenidos principales, que incluyen: Información sobre el grupo de ataque de ransomware LockBit; Clústeres de LockBit activos; Lista de indicadores de ataques cibernéticos registrados relacionados con LockBit 3.0; Cómo prevenir y minimizar los riesgos de los ataques de ransomware.

El informe del NCSC, que identifica a LockBit como uno de los grupos de ransomware más peligrosos del mundo, también señala que, desde su primera aparición en 2019, ha llevado a cabo numerosos ataques contra empresas y organizaciones de diversos sectores. El grupo opera bajo un modelo de ransomware como servicio (RaaS), que permite a los cibercriminales implementar ransomware y compartir las ganancias con quienes lo respaldan.

Cabe destacar que, en septiembre de 2022, el código fuente de LockBit 3.0, incluyendo algunos de los nombres que podrían haberse usado para desarrollar este ransomware, fue filtrado por un individuo llamado "ali_qushji" en la plataforma X (anteriormente Twitter). La filtración permitió a los expertos analizar con más detalle la muestra de ransomware de LockBit 3.0, pero desde entonces, los cibercriminales han creado una oleada de nuevas variantes de ransomware basadas en el código fuente de LockBit 3.0.

Además de analizar los métodos de ataque de los clústeres activos de ransomware LockBit, como TronBit, CriptomanGizmo o Tina Turnet, el informe del NCSC también proporciona a las unidades una lista de indicadores de ciberataques relacionados con LockBit 3.0 registrados. «Actualizaremos continuamente la información sobre los indicadores de ciberataques en la página alert.khonggianmang.vn del portal nacional del ciberespacio», declaró un experto del NCSC.

Un aspecto particularmente importante mencionado en el Informe de Análisis de Ransomware LockBit 3.0 es el contenido que orienta a agencias, organizaciones y empresas sobre cómo prevenir y minimizar los riesgos de ataques de ransomware. El Departamento de Seguridad de la Información mencionó notas importantes para apoyar a las unidades en Vietnam en la prevención y respuesta a ataques de ransomware en el Manual sobre algunas medidas para prevenir y minimizar los riesgos de ataques de ransomware, publicado el 6 de abril, y los expertos del NCSC siguen recomendando su implementación.

Según los expertos, los ataques de ransomware actuales suelen surgir de una vulnerabilidad de seguridad en una agencia u organización. Los atacantes penetran el sistema, mantienen su presencia, amplían el alcance de la intrusión, controlan la infraestructura informática de la organización y paralizan el sistema con el objetivo de obligar a las organizaciones víctimas reales a pagar un rescate si desean recuperar los datos cifrados.

Al compartir con los periodistas de VietNamNet sobre el momento en que ocurrió el ataque al sistema VNDIRECT hace 5 días, desde la perspectiva de la unidad que participa en la coordinación de las actividades de apoyo a la respuesta a incidentes, un representante del Departamento de Seguridad de la Información comentó: Este incidente es una lección importante para crear conciencia sobre la seguridad y protección de la red de las organizaciones y empresas en Vietnam.

Por lo tanto, las agencias, organizaciones y empresas, especialmente aquellas que operan en campos importantes como finanzas, banca, valores, energía, telecomunicaciones, etc., necesitan revisar y fortalecer de manera urgente y proactiva tanto los sistemas de seguridad existentes como el personal profesional y, al mismo tiempo, desarrollar planes de respuesta a incidentes.

“Las organizaciones deben cumplir estrictamente con las regulaciones, requisitos y directrices sobre seguridad de la información y la red emitidas. Es responsabilidad de cada organización y empresa protegerse a sí misma y a sus clientes de posibles ciberataques”, enfatizó un representante del Departamento de Seguridad de la Información.

¿Por qué el sistema PVOIL puede recuperarse rápidamente después de un ataque de ransomware?

Además del tamaño no tan grande del sistema, un factor importante para que PVOIL pueda solucionar rápidamente el ataque de ransomware y restaurar las operaciones después de solo unos días es gracias a los datos de respaldo.

Formar una cultura de seguridad para aumentar las defensas contra los ataques de ransomware

Según CDNetworks Vietnam, al invertir en la capacitación de los empleados, formar una cultura de seguridad y promover la cooperación entre los empleados y el equipo de seguridad, las empresas pueden aumentar sus defensas contra ataques cibernéticos, incluidos los ataques de ransomware.

El pago de rescates animará a los piratas informáticos a aumentar los ataques de ransomware

Los expertos coinciden en que las organizaciones atacadas por ransomware no deben pagar el rescate a los hackers. Esto los animará a atacar otros objetivos o a otros grupos a seguir atacando sus sistemas.