פרסום דוח ניתוח תוכנות הכופר LockBit 3.0.

בין ה-24 במרץ לשבוע הראשון של אפריל השנה, המרחב הסייבר של וייטנאם חווה סדרה של מתקפות כופר ממוקדות שכוונו לעסקים וייטנאמיים גדולים הפועלים במגזרים קריטיים כמו פיננסים, ניירות ערך, אנרגיה ותקשורת. מתקפות אלו גרמו לשיבושים במערכת לתקופה מסוימת, וכתוצאה מכך נגרמו הפסדים כלכליים משמעותיים ונזק למוניטין של הגופים שנבדקו.

באמצעות תהליך ניתוח וחקירה של הגורמים והקבוצות שתקפו לאחרונה את מערכות המידע של עסקים וייטנאמיים, הרשויות גילו כי אירועים אלה הם "תוצרים" של קבוצות תקיפה שונות כגון LockBit, BlackCat, Mallox וכו'. בפרט, בנוגע למתקפת הכופר על מערכת VNDIRECT בשעה 10:00 בבוקר ב-24 במרץ, שהצפינה את כל הנתונים של חברה המדורגת בין 3 המובילות בשוק המניות הוייטנאמי, הרשויות זיהו את LockBit ואת תוכנת הזדוני LockBit 3.0 שלה כמבצעים.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
המרכז הלאומי לאבטחת סייבר, מחלקה A05 ( משרד הביטחון הציבורי ) אישר כי המתקפה על מערכת חברת ניירות הערך VNDIRECT במרץ 2024 בוצעה על ידי LockBit 3.0.

ברחבי העולם , קבוצת LockBit השיקה מספר רב של מתקפות כופר כנגד עסקים וארגונים גדולים. לדוגמה, ביוני ובאוקטובר 2023, קבוצת כופר ידועה לשמצה זו תקפה את יצרנית המוליכים למחצה TSMC (טייוואן, סין) ואת חברת מוצרי ושירותי ה-IT CDW, ודרשה כופר של עד 70-80 מיליון דולר מעסקים אלה.

במטרה לסייע לסוכנויות, ארגונים ועסקים בווייטנאם להבין טוב יותר את רמת הסכנה וכיצד למנוע ולמתן סיכונים כתוצאה מהתקפות כופר באופן כללי, כמו גם מהתקפות של קבוצת LockBit בפרט, המרכז הלאומי לניטור אבטחת סייבר - NCSC תחת מחלקת אבטחת מידע (משרד המידע והתקשורת) ריכז מידע ממקורות מקוונים ופרסם את 'דוח הניתוח על LockBit 3.0 Ransomware'.

קבוצת תוכנות הכופר המסוכנות ביותר בעולם.

הדו"ח החדש של NCSC מתמקד בארבע נקודות עיקריות, ביניהן: מידע על קבוצת מתקפות הכופר LockBit; אשכולות LockBit פעילים; רשימה של אינדיקטורים מתועדים של מתקפות סייבר הקשורות ל-LockBit 3.0; ושיטות למניעה והפחתת סיכונים מהתקפות כופר.

דו"ח NCSC זיהה את LockBit כאחת מקבוצות תוכנות הכופר המובילות בעולם, וקבע גם כי מאז הופעתה הראשונית בשנת 2019, LockBit ביצעה מתקפות רבות המכוונות לעסקים וארגונים במגזרים שונים. הקבוצה פועלת במודל 'תוכנות כופר כשירות (RaaS)', המאפשר לגורמי איום לפרוס תוכנות כופר ולחלוק רווחים עם אלו שעומדים מאחורי השירות.

lockbit של כופרה.jpg
על פי מומחים, LockBit היא אחת מקבוצות תוכנות הכופר המסוכנות ביותר בעולם. (איור: Bkav)

ראוי לציין כי בספטמבר 2022, קוד המקור של LockBit 3.0, כולל מספר שמות שניתן להשתמש בהם לפיתוח תוכנת הכופר הזו, דלף על ידי אדם בשם 'ali_qushji' בפלטפורמת X (לשעבר טוויטר). דליפה זו אפשרה למומחים לנתח את תוכנת הכופר LockBit 3.0 מקרוב יותר, אך מאז, גורמי איום יצרו גל של גרסאות חדשות של תוכנת הכופר המבוססות על קוד המקור של LockBit 3.0.

בנוסף לניתוח שיטות התקיפה של אשכולות כופר פעילים של LockBit כגון TronBit, CriptomanGizmo ו-Tina Turnet, דו"ח ה-NCSC מספק לסוכנויות הרלוונטיות גם רשימה של אינדיקטורים מתועדים של התקפות IOC (פשע מבצעי מודיעין) הקשורים ל-LockBit 3.0. "נעדכן באופן רציף את אינדיקטורים של IOC בדף alert.khonggianmang.vn של פורטל הסייבר הלאומי", הצהיר מומחה NCSC.

סעיף חשוב במיוחד בדוח ניתוח תוכנות הכופר LockBit 3.0 הוא ההנחיות הניתנות לסוכנויות, ארגונים ועסקים כיצד למנוע ולצמצם סיכונים מהתקפות כופר. הערות חשובות לתמיכה בגופים וייטנאמיים במניעה ובהתגובה להתקפות כופר, כפי שתואר על ידי מחלקת אבטחת הסייבר ב-'מדריך אמצעים למניעה ולצמצום סיכונים מהתקפות כופר' שפורסם ב-6 באפריל, ממשיכות להיות מומלצות ליישום על ידי מומחי NCSC.

W-phong-chong-tan-cong-ransomware-1.jpg
ניטור מתמשך לגילוי מוקדם של חדירות למערכת הוא אחד מתשעה אמצעים שסוכנות אבטחת הסייבר ממליצה לארגונים ליישם כדי למנוע התקפות כופר. (איור: חאן לין)

על פי מומחים, מתקפות כופר נוכחיות נובעות לעיתים קרובות מפגיעות אבטחה בתוך ארגון. תוקפים חודרים למערכת, שומרים על נוכחות, מרחיבים את טווח ההגעה שלהם, שולטים בתשתית ה-IT של הארגון ומשתקים את המערכת, במטרה לאלץ ארגונים הקורבן לשלם כופר כדי לשחזר את הנתונים המוצפנים שלהם.

בשיחה עם כתבי VietNamNet חמישה ימים לאחר התקיפה על מערכת VNDIRECT, אמר נציג ממחלקת אבטחת המידע, מנקודת מבטה של ​​היחידה המתאמת את תגובת האירוע: "אירוע זה הוא לקח חשוב להעלאת המודעות לאבטחת סייבר בקרב ארגונים ועסקים בווייטנאם."

לכן, סוכנויות, ארגונים ועסקים, במיוחד אלו הפועלים במגזרים קריטיים כמו פיננסים, בנקאות, ניירות ערך, אנרגיה ותקשורת, צריכים לבחון ולחזק בדחיפות ובאופן יזום הן את מערכות האבטחה והן את כוח האדם הקיימים שלהם, תוך פיתוח תוכניות תגובה לאירועים.

"ארגונים צריכים לעמוד בקפדנות בתקנות, בדרישות ובהנחיות שפורסמו בנושאי אבטחת מידע ואבטחת סייבר. זוהי אחריותו של כל ארגון ועסק להגן על עצמו ועל לקוחותיו מפני סיכוני סייבר פוטנציאליים", הדגיש נציג מחלקת אבטחת המידע.

נוזקת הכופר LockBit נודעה בתחילה בשם ABCD, על שם סיומת הקובץ המוצפנת, ולאחר מספר חודשים הופיעה גרסה של ABCD תחת שמה הנוכחי, Lockbit. שנה לאחר מכן, הקבוצה הוציאה גרסה משודרגת, LockBit 2.0 (הידועה גם בשם LockBit Red), שכללה נוזקה משולבת נוספת בשם StealBit, שמטרתה לגנוב מידע רגיש. LockBit 3.0, או LockBit Black, היא הגרסה האחרונה, שיצאה בשנת 2022, עם תכונות חדשות וטכניקות מתקדמות לעקיפת אבטחה.
מדוע מערכת PVOIL הצליחה להתאושש כל כך מהר לאחר מתקפת כופר?

מדוע מערכת PVOIL הצליחה להתאושש כל כך מהר לאחר מתקפת כופר?

מלבד גודל המערכת הקטן יחסית, גורם מכריע שאפשר ל-PVOIL לפתור במהירות את מתקפת הכופר ולשקם את הפעילות תוך מספר ימים בלבד היה נתוני הגיבוי שלה.
פיתוח תרבות אבטחה לשיפור ההגנות מפני מתקפות כופר.

פיתוח תרבות אבטחה לשיפור ההגנות מפני מתקפות כופר.

לפי CDNetworks Vietnam, על ידי השקעה בהכשרת עובדים, טיפוח תרבות אבטחה וקידום שיתוף פעולה בין עובדים לצוותי אבטחה, עסקים יכולים לשפר את הגנותיהם מפני מתקפות סייבר, כולל מתקפות כופר.
תשלום כופר עבור נתונים יעודד האקרים להגביר את מתקפות הכופר.

תשלום כופר עבור נתונים יעודד האקרים להגביר את מתקפות הכופר.

מומחים מסכימים כי ארגונים שנפגעו ממתקפות כופר לא צריכים לשלם את הכופר להאקרים. פעולה זו תעודד את ההאקרים לתקוף מטרות אחרות או תעודד קבוצות האקרים אחרות לתקוף שוב את מערכות הארגון.