حمله باج‌افزار Lockbit 3.0 به VNDIRECT چقدر خطرناک است؟

انتشار گزارش تحلیل باج‌افزار LockBit 3.0.

بین ۲۴ مارس و هفته اول آوریل امسال، فضای سایبری ویتنام شاهد مجموعه‌ای از حملات هدفمند باج‌افزاری بود که مشاغل بزرگ ویتنامی فعال در بخش‌های حیاتی مانند امور مالی، اوراق بهادار، انرژی و مخابرات را هدف قرار داد. این حملات باعث اختلال در سیستم برای مدتی شد و منجر به خسارات اقتصادی قابل توجه و آسیب به اعتبار نهادهای هدف شد.

مقامات از طریق فرآیند تحلیل و بررسی علل و گروه‌هایی که اخیراً به سیستم‌های اطلاعاتی مشاغل ویتنامی حمله کرده‌اند، دریافته‌اند که این حوادث «محصولات» گروه‌های مهاجم مختلفی مانند LockBit، BlackCat، Mallox و غیره هستند. به طور خاص، در مورد حمله باج‌افزاری به سیستم VNDIRECT در ساعت ۱۰:۰۰ صبح ۲۴ مارس که تمام داده‌های یک شرکت رتبه‌بندی شده در بین ۳ شرکت برتر بازار سهام ویتنام را رمزگذاری کرد، مقامات LockBit و بدافزار LockBit 3.0 آن را به عنوان عاملان این حمله شناسایی کرده‌اند.

در سطح جهانی ، گروه LockBit حملات باج‌افزاری متعددی را علیه مشاغل و سازمان‌های بزرگ انجام داده است. به عنوان مثال، در ژوئن و اکتبر ۲۰۲۳، این گروه بدنام باج‌افزار به تولیدکننده نیمه‌هادی TSMC (تایوان، چین) و شرکت محصولات و خدمات فناوری اطلاعات CDW حمله کرد و از این مشاغل درخواست باج تا سقف ۷۰ تا ۸۰ میلیون دلار کرد.

با هدف کمک به آژانس‌ها، سازمان‌ها و مشاغل در ویتنام برای درک بهتر سطح خطر و چگونگی پیشگیری و کاهش خطرات ناشی از حملات باج‌افزاری به طور کلی، و همچنین حملات گروه LockBit به طور خاص، مرکز ملی نظارت بر امنیت سایبری - NCSC تحت نظارت وزارت امنیت اطلاعات (وزارت اطلاعات و ارتباطات) اطلاعاتی را از منابع آنلاین گردآوری و «گزارش تحلیلی در مورد باج‌افزار LockBit 3.0» را منتشر کرده است.

خطرناک‌ترین گروه باج‌افزار جهان.

گزارش جدید NCSC بر چهار نکته اصلی تمرکز دارد، از جمله: اطلاعات مربوط به گروه حمله باج‌افزار LockBit؛ خوشه‌های فعال LockBit؛ فهرستی از شاخص‌های ثبت‌شده حمله سایبری مرتبط با LockBit 3.0؛ و روش‌های پیشگیری و کاهش خطرات ناشی از حملات باج‌افزار.

گزارش NCSC با شناسایی LockBit به عنوان یکی از گروه‌های پیشرو در زمینه باج‌افزار در جهان، همچنین اظهار داشت که از زمان ظهور اولیه خود در سال ۲۰۱۹، LockBit حملات متعددی را علیه مشاغل و سازمان‌ها در بخش‌های مختلف انجام داده است. این گروه بر اساس مدل «باج‌افزار به عنوان سرویس (RaaS)» فعالیت می‌کند و به عوامل تهدید اجازه می‌دهد تا باج‌افزار را مستقر کرده و سود حاصل را با کسانی که در پشت این سرویس هستند، به اشتراک بگذارند.

نکته قابل توجه این است که در سپتامبر ۲۰۲۲، کد منبع LockBit 3.0، شامل چندین نام که می‌توانستند برای توسعه این باج‌افزار استفاده شوند، توسط فردی به نام 'ali_qushji' در پلتفرم X (که قبلاً توییتر بود) فاش شد. این افشاگری به کارشناسان اجازه داد تا باج‌افزار LockBit 3.0 را با دقت بیشتری تجزیه و تحلیل کنند، اما از آن زمان، عاملان تهدید موجی از انواع جدید باج‌افزار را بر اساس کد منبع LockBit 3.0 ایجاد کرده‌اند.

گزارش NCSC علاوه بر تجزیه و تحلیل روش‌های حمله خوشه‌های فعال باج‌افزار LockBit مانند TronBit، CriptomanGizmo و Tina Turnet، فهرستی از شاخص‌های حمله IOC (جرایم عملیاتی هوشمند) ثبت‌شده مربوط به LockBit 3.0 را نیز در اختیار سازمان‌های مربوطه قرار می‌دهد. یکی از کارشناسان NCSC اظهار داشت: «ما به طور مداوم شاخص‌های IOC را در صفحه alert.khongginmang.vn پورتال ملی امنیت سایبری به‌روزرسانی خواهیم کرد.»

بخش بسیار مهمی از «گزارش تحلیل باج‌افزار LockBit 3.0» راهنمایی‌هایی است که به سازمان‌ها، ادارات و کسب‌وکارها در مورد چگونگی پیشگیری و کاهش خطرات ناشی از حملات باج‌افزار ارائه می‌شود. نکات مهم برای حمایت از نهادهای ویتنامی در پیشگیری و پاسخ به حملات باج‌افزار، همانطور که توسط اداره امنیت سایبری در «راهنمای اقدامات پیشگیری و کاهش خطرات ناشی از حملات باج‌افزار» که در 6 آوریل منتشر شد، ذکر شده است، همچنان توسط کارشناسان NCSC برای اجرا توصیه می‌شود.

به گفته کارشناسان، حملات باج‌افزاری فعلی اغلب از یک آسیب‌پذیری امنیتی در داخل یک سازمان سرچشمه می‌گیرند. مهاجمان به سیستم نفوذ می‌کنند، حضور خود را حفظ می‌کنند، دامنه نفوذ خود را گسترش می‌دهند، زیرساخت‌های فناوری اطلاعات سازمان را کنترل می‌کنند و سیستم را فلج می‌کنند، با این هدف که سازمان‌های قربانی را مجبور به پرداخت باج برای بازیابی داده‌های رمزگذاری شده خود کنند.

پنج روز پس از حمله به سیستم VNDIRECT، نماینده‌ای از اداره امنیت اطلاعات، از دیدگاه واحد هماهنگ‌کننده واکنش به حادثه، در گفتگو با خبرنگاران VietNamNet اظهار داشت: این حادثه درس مهمی برای افزایش آگاهی از امنیت سایبری در بین سازمان‌ها و مشاغل ویتنام است.

بنابراین، آژانس‌ها، سازمان‌ها و کسب‌وکارها، به‌ویژه آن‌هایی که در بخش‌های حیاتی مانند امور مالی، بانکداری، اوراق بهادار، انرژی و مخابرات فعالیت می‌کنند، باید فوراً و به‌طور پیشگیرانه، سیستم‌های امنیتی و پرسنل موجود خود را بررسی و تقویت کنند، و در عین حال برنامه‌های واکنش به حوادث را نیز تدوین کنند.

نماینده‌ای از اداره امنیت اطلاعات تأکید کرد: «سازمان‌ها باید به شدت از مقررات، الزامات و دستورالعمل‌های مربوط به امنیت اطلاعات و امنیت سایبری که صادر شده است، پیروی کنند. این مسئولیت هر سازمان و کسب‌وکاری است که خود و مشتریانش را از خطرات احتمالی حملات سایبری محافظت کند.»

چرا سیستم PVOIL توانست پس از حمله باج‌افزار به سرعت بازیابی شود؟

گذشته از اندازه نسبتاً کوچک سیستم، عامل حیاتی که PVOIL را قادر ساخت تا به سرعت حمله باج‌افزار را حل کند و عملیات را تنها در عرض چند روز بازیابی کند، داده‌های پشتیبان آن بود.

فرهنگ امنیتی را برای تقویت دفاع در برابر حملات باج‌افزارها توسعه دهید.

طبق گزارش CDNetworks Vietnam، با سرمایه‌گذاری در آموزش کارکنان، پرورش فرهنگ امنیتی و ارتقای همکاری بین پرسنل و تیم‌های امنیتی، کسب‌وکارها می‌توانند دفاع خود را در برابر حملات سایبری، از جمله حملات باج‌افزاری، افزایش دهند.

پرداخت باج برای داده‌ها، هکرها را به افزایش حملات باج‌افزاری تشویق می‌کند.

کارشناسان معتقدند سازمان‌هایی که مورد حملات باج‌افزاری قرار می‌گیرند، نباید به هکرها باج بدهند. انجام این کار هکرها را تشویق می‌کند تا به اهداف دیگر حمله کنند یا گروه‌های هکری دیگر را تشویق می‌کند تا دوباره به سیستم‌های سازمان حمله کنند.