La méthode employée par les pirates informatiques pour pénétrer le système et attaquer le chiffrement des données

Prolonger le « cauchemar » des logiciels malveillants de chiffrement de données

La cyberattaque qui a touché le système VNDIRECT, une entreprise figurant parmi les trois premières de la bourse vietnamienne, le matin du 24 mars, est désormais quasiment résolue. Les données ont été décryptées et le service de consultation de compte est de nouveau opérationnel.

VNDIRECT a rapporté que l'incident du 24 mars a été perpétré par un groupe de pirates informatiques professionnels, entraînant le chiffrement de l'intégralité des données de l'entreprise. Les attaques par rançongiciel constituent un véritable cauchemar pour les entreprises et les organisations du monde entier depuis des années, en raison des graves conséquences qu'elles peuvent engendrer. Les experts comparent d'ailleurs les rançongiciels à un « cauchemar » et à un « fantôme » du cyberespace.

Conformément à la feuille de route communiquée à ses clients et partenaires, VNDIRECT poursuivra la réouverture progressive de ses systèmes, produits et autres services. Un bilan avec les bourses est prévu le 28 mars.

Cependant, l'analyse des experts en sécurité informatique révèle que le travail de l'équipe technique et des experts de VNDIRECT, qui recherchent les vulnérabilités et corrigent le problème en profondeur, est loin d'être terminé. Les ransomwares ne constituent pas une forme nouvelle de cyberattaque ; ils sont néanmoins très complexes et nécessitent un temps considérable pour nettoyer les données, restaurer intégralement le système et rétablir son fonctionnement normal.

« Pour remédier complètement à une attaque de ransomware, il est parfois nécessaire de modifier l'architecture du système, notamment le système de sauvegarde. Par conséquent, compte tenu de l'incident auquel VNDIRECT est confronté, nous pensons qu'il faudra plus de temps, voire des mois, pour que le système se rétablisse entièrement », a déclaré Vu Ngoc Son, directeur technique de NCS.

M. Nguyen Minh Hai, directeur technique de Fortinet Vietnam, a déclaré que, selon la gravité de l'attaque, la capacité de se préparer à l'avance et l'efficacité du plan de réponse, le temps nécessaire pour récupérer le système après une attaque de ransomware peut varier considérablement, de quelques heures à plusieurs semaines pour une récupération complète, en particulier dans les cas où une grande quantité de données doit être récupérée.

« Ce processus de récupération comprend notamment la vérification que le logiciel malveillant de chiffrement des données a été complètement supprimé du réseau et qu'aucune porte dérobée ne subsiste qui pourrait permettre aux attaquants de reprendre accès », a déclaré Nguyen Minh Hai.

Les experts ont également fait remarquer que, outre le fait qu'elle constituait un « signal d'alarme » pour les unités gérant et exploitant des systèmes d'information importants au Vietnam, la cyberattaque contre VNDIRECT a également démontré une fois de plus le niveau de dangerosité des rançongiciels.

Il y a plus de 6 ans, WannaCry et ses variantes de logiciels malveillants de chiffrement de données ont causé de sérieux problèmes à de nombreuses entreprises et organisations, lorsqu'ils se sont rapidement propagés à plus de 300 000 ordinateurs dans près de 100 pays et territoires à travers le monde , y compris le Vietnam.

Ces dernières années, les entreprises ont toujours été préoccupées par les attaques de rançongiciels. L'année dernière, le cyberespace vietnamien a enregistré de nombreuses attaques de ce type, aux conséquences graves. Dans certains cas, les pirates informatiques ont non seulement chiffré les données pour exiger une rançon, mais les ont également vendues à des tiers afin de maximiser les sommes perçues. Selon les statistiques du NCS, en 2023, jusqu'à 83 000 ordinateurs et serveurs au Vietnam ont été victimes d'attaques de rançongiciels.

Voies courantes d'infiltration du système

L'équipe technique de VNDIRECT collabore avec des experts en sécurité informatique afin de déployer des solutions permettant de restaurer intégralement le système et d'en garantir la sécurité. Les causes de l'incident et le mode opératoire des pirates informatiques pour s'introduire dans le système font toujours l'objet d'une enquête.

Selon M. Ngo Tuan Anh, PDG de SCS Smart Network Security Company, pour attaquer le chiffrement des données, les pirates informatiques choisissent souvent de s'introduire dans le serveur contenant les données sensibles et de chiffrer ces données. Ils utilisent généralement deux méthodes pour pénétrer le système : soit en exploitant directement les vulnérabilités et les faiblesses du serveur, soit en passant par l'ordinateur de l'administrateur pour prendre le contrôle du système.

S'adressant à VietNamNet , M. Vu The Hai, responsable du département de surveillance de la sécurité de l'information de la société VSEC, a également souligné certaines possibilités pour les pirates informatiques d'infiltrer le système et d'y installer des logiciels malveillants : exploiter les vulnérabilités existantes du système pour en prendre le contrôle et installer des logiciels malveillants ; envoyer des courriels avec des pièces jointes contenant des logiciels malveillants pour tromper les utilisateurs sur le système ouvert et activer ces logiciels malveillants ; se connecter au système à l'aide de mots de passe divulgués ou de mots de passe faibles des utilisateurs du système.

L'expert Vu Ngoc Son a analysé que lors des attaques de ransomware, les pirates informatiques pénètrent souvent dans le système de plusieurs manières, notamment en sondant les mots de passe, en exploitant les vulnérabilités du système, principalement les vulnérabilités zero-day (vulnérabilités que le fabricant n'a pas encore corrigées - PV).

Les entreprises financières sont généralement soumises à des normes réglementaires strictes, ce qui rend la découverte des mots de passe quasi impossible. L'hypothèse la plus probable est une attaque exploitant une faille zero-day. Concrètement, les pirates envoient à distance des segments de données erronés qui provoquent un dysfonctionnement du logiciel lors de son traitement.

« Ensuite, le pirate exécute du code à distance et prend le contrôle du serveur de services. À partir de ce serveur, il continue de collecter des informations, utilise les comptes d'administrateur obtenus pour attaquer d'autres serveurs du réseau et, enfin, exécute des outils de chiffrement de données à des fins d'extorsion », a analysé l'expert Vu Ngoc Son.

Leçon 2 - Des experts expliquent comment réagir aux attaques de ransomware

Le 15 avril est la date limite pour que les sociétés de valeurs mobilières achèvent l'examen et l'évaluation de la sécurité de l'information et mettent en œuvre des mesures visant à surmonter les risques et les faiblesses des systèmes, y compris les systèmes servant aux transactions sur titres en ligne.