باج‌افزار Lockbit 3.0 که به VNDIRECT حمله می‌کند چقدر خطرناک است؟

گزارش تجزیه و تحلیل باج‌افزار LockBit 3.0 منتشر شد

طی ۳ هفته از ۲۴ مارس تا هفته اول آوریل امسال، فضای سایبری ویتنام حملات هدفمند متوالی به شکل باج‌افزار را به شرکت‌های بزرگ ویتنامی که در زمینه‌های مهمی مانند امور مالی، اوراق بهادار، انرژی، مخابرات فعالیت می‌کردند، ثبت کرد... این حملات باعث شد سیستم‌های شرکت‌ها برای مدتی به حالت تعلیق درآیند و منجر به خسارات اقتصادی و اعتباری قابل توجهی به واحدهایی شود که سیستم‌های آنها توسط گروه‌های مجرمان سایبری هدف قرار گرفته بود.

در جریان فرآیند تحلیل و بررسی علل و گروه‌هایی که اخیراً به سیستم‌های اطلاعاتی شرکت‌های ویتنامی حمله کرده‌اند، مقامات متوجه شدند که این حوادث «محصول» گروه‌های حمله‌ی مختلفی مانند LockBit، BlackCat، Mallox... بوده‌اند. به طور خاص، با حمله‌ی باج‌افزاری به سیستم VNDIRECT در ساعت ۱۰:۰۰ صبح ۲۴ مارس که تمام داده‌های شرکت‌های ۳ شرکت برتر بازار سهام ویتنام را رمزگذاری کرد، مقامات گروه LockBit با بدافزار LockBit 3.0 را به عنوان عامل این حادثه شناسایی کردند.

در سراسر جهان ، گروه LockBit حملات باج‌افزاری زیادی را علیه کسب‌وکارها و سازمان‌های بزرگ انجام داده است. به عنوان مثال، در سال ۲۰۲۳، به ترتیب در ماه‌های ژوئن و اکتبر، این گروه بدنام باج‌افزار به شرکت تولید نیمه‌هادی TSMC (تایوان، چین) و شرکت محصولات و خدمات فناوری اطلاعات CDW حمله کرد و مبلغ باجی که گروه Lockbit از کسب‌وکارها خواسته بود تا ۷۰ تا ۸۰ میلیون دلار آمریکا پرداخت کنند، به این شرکت اختصاص داد.

مرکز ملی نظارت بر امنیت سایبری - NCSC تحت نظر وزارت امنیت اطلاعات (وزارت اطلاعات و ارتباطات) با هدف کمک به آژانس‌ها، سازمان‌ها و مشاغل در ویتنام برای درک بهتر سطح خطر و چگونگی پیشگیری و به حداقل رساندن خطرات ناشی از حملات باج‌افزاری به طور کلی و همچنین حملات گروه LockBit، منابع اطلاعاتی در فضای مجازی را گردآوری و «گزارش تحلیلی در مورد باج‌افزار LockBit 3.0» را منتشر کرده است.

خطرناک‌ترین گروه باج‌افزار جهان

گزارش جدید ارائه شده توسط NCSC بر ارائه ۴ محتوای اصلی تمرکز دارد، از جمله: اطلاعات مربوط به گروه حمله باج‌افزار LockBit؛ خوشه‌های فعال LockBit؛ فهرست شاخص‌های حمله سایبری ثبت شده مربوط به LockBit 3.0؛ نحوه پیشگیری و به حداقل رساندن خطرات ناشی از حملات باج‌افزار.

گزارش NCSC با معرفی LockBit به عنوان یکی از خطرناک‌ترین گروه‌های باج‌افزاری در جهان، همچنین بیان کرد که از زمان اولین حضورش در سال ۲۰۱۹، LockBit حملات متعددی را علیه مشاغل و سازمان‌ها در بخش‌های مختلف انجام داده است. این گروه تحت مدل «باج‌افزار به عنوان سرویس (RaaS)» فعالیت می‌کند و به عوامل تهدید اجازه می‌دهد تا باج‌افزار را مستقر کرده و سود حاصل را با کسانی که پشت این سرویس هستند، به اشتراک بگذارند.

نکته قابل توجه این است که در سپتامبر ۲۰۲۲، کد منبع LockBit 3.0، شامل برخی از نام‌هایی که می‌توانستند برای توسعه این باج‌افزار استفاده شوند، توسط فردی به نام 'ali_qushji' در پلتفرم X (که قبلاً توییتر نام داشت) فاش شد. این افشاگری به کارشناسان اجازه داد تا نمونه باج‌افزار LockBit 3.0 را بیشتر تجزیه و تحلیل کنند، اما از آن زمان، عاملان تهدید موجی از انواع جدید باج‌افزار را بر اساس کد منبع LockBit 3.0 ایجاد کرده‌اند.

گزارش NCSC علاوه بر تجزیه و تحلیل روش‌های حمله خوشه‌های فعال باج‌افزار LockBit مانند TronBit، CriptomanGizmo یا Tina Turner، فهرستی از شاخص‌های حمله سایبری ثبت‌شده مربوط به LockBit 3.0 را نیز در اختیار واحدها قرار می‌دهد. یکی از کارشناسان NCSC گفت: «ما به طور مداوم اطلاعات شاخص IOC را در صفحه alert.khongginmang.vn پورتال ملی فضای مجازی به‌روزرسانی خواهیم کرد.»

بخش بسیار مهمی که در «گزارش تحلیل باج‌افزار LockBit 3.0» به آن اشاره شده است، محتوایی است که آژانس‌ها، سازمان‌ها و کسب‌وکارها را در مورد چگونگی پیشگیری و به حداقل رساندن خطرات ناشی از حملات باج‌افزار راهنمایی می‌کند. نکات مهمی برای پشتیبانی از واحدهای ویتنام در پیشگیری و پاسخ به حملات باج‌افزار توسط وزارت امنیت اطلاعات در «کتابچه راهنمای برخی اقدامات برای پیشگیری و به حداقل رساندن خطرات ناشی از حملات باج‌افزار» که در 6 آوریل منتشر شد، ذکر شده است و همچنان توسط کارشناسان NCSC برای اجرا توصیه می‌شود.

به گفته کارشناسان، حملات باج‌افزاری امروزه اغلب از ضعف امنیتی یک آژانس یا سازمان شروع می‌شوند. مهاجمان به سیستم نفوذ می‌کنند، حضور خود را حفظ می‌کنند، دامنه نفوذ را گسترش می‌دهند، زیرساخت فناوری اطلاعات سازمان را کنترل می‌کنند و سیستم را فلج می‌کنند، با این هدف که سازمان‌های قربانی واقعی را مجبور به پرداخت باج در صورت تمایل به بازیابی داده‌های رمزگذاری شده کنند.

نماینده‌ای از وزارت امنیت اطلاعات، در زمان وقوع حمله به سیستم VNDIRECT در ۵ روز پیش، از دیدگاه واحدی که در هماهنگی فعالیت‌های پشتیبانی واکنش به حوادث مشارکت داشت، با خبرنگاران VietNamNet در میان گذاشت و اظهار داشت: این حادثه درس مهمی برای افزایش آگاهی از ایمنی شبکه و امنیت سازمان‌ها و مشاغل در ویتنام است.

بنابراین، آژانس‌ها، سازمان‌ها و کسب‌وکارها، به‌ویژه آن‌هایی که در زمینه‌های مهمی مانند امور مالی، بانکداری، اوراق بهادار، انرژی، مخابرات و غیره فعالیت می‌کنند، باید فوراً و به‌طور پیشگیرانه، سیستم‌های امنیتی موجود و پرسنل حرفه‌ای را بررسی و تقویت کنند و همزمان برنامه‌های واکنش به حوادث را تدوین کنند.

نماینده‌ای از اداره امنیت اطلاعات تأکید کرد : «سازمان‌ها باید به شدت از مقررات، الزامات و دستورالعمل‌های مربوط به امنیت اطلاعات و امنیت شبکه که صادر شده است، پیروی کنند. این مسئولیت هر سازمان و شرکتی است که خود و مشتریان خود را در برابر حملات سایبری احتمالی محافظت کند.»

چرا سیستم PVOIL می‌تواند پس از حمله باج‌افزار به سرعت بازیابی شود؟

علاوه بر اندازه نه چندان بزرگ سیستم، عامل مهمی که PVOIL را در رفع سریع حمله باج‌افزار و بازیابی عملیات تنها پس از چند روز یاری می‌کند، به لطف داده‌های پشتیبان است.

ایجاد فرهنگ امنیتی برای افزایش دفاع در برابر حملات باج‌افزارها

طبق گزارش CDNetworks Vietnam، با سرمایه‌گذاری در آموزش کارکنان، ایجاد فرهنگ امنیتی و ارتقای همکاری بین منابع انسانی و تیم‌های امنیتی، کسب‌وکارها می‌توانند دفاع خود را در برابر حملات سایبری، از جمله حملات باج‌افزاری، افزایش دهند.

پرداخت باج برای داده‌ها، هکرها را به افزایش حملات باج‌افزاری تشویق می‌کند

کارشناسان معتقدند سازمان‌هایی که مورد حمله باج‌افزارها قرار می‌گیرند، نباید به هکرها باج بدهند. این کار هکرها را تشویق می‌کند تا به اهداف دیگر حمله کنند یا گروه‌های هکری دیگر را تشویق می‌کند تا به حمله به سیستم‌های خود ادامه دهند.