דוח ניתוח כופר LockBit 3.0 פורסם

במהלך שלושת השבועות שבין ה-24 במרץ לשבוע הראשון של אפריל השנה, תיעד מרחב הסייבר של וייטנאם התקפות ממוקדות רצופות בצורת תוכנות כופר על ארגונים וייטנאמיים גדולים הפועלים בתחומים חשובים כמו פיננסים, ניירות ערך, אנרגיה, טלקומוניקציה וכו'. התקפות אלו גרמו להשעות את מערכות הארגונים לתקופה מסוימת, וגרמו נזק כלכלי ותדמיתי משמעותי ליחידות שמערכותיהן היו מטרה לקבוצות פושעי סייבר.

במהלך תהליך הניתוח והחקירה של הגורמים וקבוצות הנושאים שתקפו לאחרונה את מערכות המידע של ארגונים וייטנאמיים, הרשויות גילו כי אירועים אלה היו "תוצרים" של קבוצות תקיפה רבות ושונות כגון LockBit, BlackCat, Mallox... בפרט, עם מתקפת הכופר על מערכת VNDIRECT בשעה 10:00 בבוקר ב-24 במרץ, שהצפינה את כל הנתונים של ארגונים בשלושת המובילים בשוק המניות הוייטנאמי, הרשויות זיהו את קבוצת LockBit עם הנוזקה LockBit 3.0 כמי שעומדת מאחורי האירוע.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
המרכז הלאומי לאבטחת סייבר, מחלקה A05 ( משרד הביטחון הציבורי ) אישר כי המתקפה על מערכת חברת ניירות הערך VNDIRECT במרץ 2024 בוצעה על ידי LockBit 3.0.

ברחבי העולם , קבוצת LockBit השיקה מתקפות כופר רבות כנגד עסקים וארגונים גדולים. לדוגמה, בשנת 2023, ביוני ובאוקטובר בהתאמה, קבוצת כופר ידועה לשמצה זו תקפה את חברת ייצור המוליכים למחצה TSMC (טייוואן, סין) ואת חברת מוצרי ושירותי טכנולוגיית המידע CDW, כאשר סכום הכופר שקבוצת LockBit דרשה מעסקים לשלם הגיע ל-70-80 מיליון דולר.

מתוך רצון לסייע לסוכנויות, ארגונים ועסקים בווייטנאם להבין טוב יותר את רמת הסכנה וכיצד למנוע ולמזער סיכונים ממתקפות כופר באופן כללי, כמו גם ממתקפות של קבוצת LockBit, מרכז ניטור אבטחת הסייבר הלאומי - NCSC, תחת מחלקת אבטחת המידע (משרד המידע והתקשורת), סינתז מקורות מידע בנושא מרחב הסייבר ופרסם את 'דו"ח הניתוח של תוכנת הכופר LockBit 3.0'.

קבוצת תוכנות הכופר המסוכנות ביותר בעולם

הדו"ח החדש שנערך על ידי NCSC מתמקד ב-4 תכנים עיקריים, ביניהם: מידע על קבוצת מתקפות הכופר LockBit; אשכולות LockBit פעילים; רשימת אינדיקטורים של מתקפות סייבר שתועדו הקשורות ל-LockBit 3.0; כיצד למנוע ולמזער סיכונים מהתקפות כופר.

דו"ח NCSC זיהה את LockBit כאחת מקבוצות תוכנות הכופר המסוכנות ביותר בעולם, וקבע כי מאז הופעתה הראשונה בשנת 2019, LockBit ביצעה מתקפות רבות המכוונות לעסקים וארגונים במגזרים שונים. הקבוצה פועלת במסגרת מודל 'תוכנות כופר כשירות (RaaS)', המאפשר לגורמי איום לפרוס תוכנות כופר ולחלוק רווחים עם אלו שעומדים מאחורי השירות.

lockbit של כופרה.jpg
על פי מומחים, LockBit היא אחת מקבוצות תוכנות הכופר המסוכנות ביותר בעולם. איור: Bkav

ראוי לציין כי בספטמבר 2022, קוד המקור של LockBit 3.0, כולל כמה מהשמות שיכלו לשמש לפיתוח תוכנת הכופר הזו, דלף על ידי אדם בשם 'ali_qushji' בפלטפורמת X (לשעבר טוויטר). הדליפה אפשרה למומחים לנתח לעומק את דוגמת תוכנת הכופר LockBit 3.0, אך מאז, גורמי איום יצרו גל של גרסאות חדשות של תוכנת הכופר המבוססות על קוד המקור של LockBit 3.0.

לצד ניתוח שיטות התקיפה של אשכולות כופר פעילים של LockBit כגון TronBit, CriptomanGizmo או Tina Turnet, דו"ח ה-NCSC מספק ליחידות גם רשימה של אינדיקטורים למתקפות סייבר הקשורים ל-LockBit 3.0 שתועדו. "אנו נעדכן באופן רציף את מידע האינדיקטורים של ה-IOC בדף alert.khonggianmang.vn של פורטל הסייבר הלאומי", אמר מומחה NCSC.

חלק חשוב במיוחד שהוזכר ב-'דו"ח ניתוח תוכנות הכופר של LockBit 3.0' הוא התוכן המנחה סוכנויות, ארגונים ועסקים כיצד למנוע ולמזער סיכונים מהתקפות כופר. הערות חשובות לתמיכה ביחידות בווייטנאם במניעה ובתגובה להתקפות כופר הוזכרו על ידי מחלקת אבטחת המידע ב-'מדריך לכמה אמצעים למניעה ולמזער סיכונים מהתקפות כופר' שפורסם ב-6 באפריל, וממשיכות להיות מומלצות ליישום על ידי מומחי NCSC.

W-אנטי-כופר-התקפת-1.jpg
ניטור רציף לגילוי חדירות מוקדמות למערכת הוא אחד מתשעה אמצעים שמחלקת אבטחת המידע ממליצה לארגונים ליישם כדי למנוע התקפות כופר. צילום איור: חאן לין

על פי מומחים, מתקפות כופר כיום מתחילות לעיתים קרובות מחולשה ביטחונית של סוכנות או ארגון. תוקפים חודרים למערכת, שומרים על נוכחות, מרחיבים את היקף הפריצה, שולטים בתשתית ה-IT של הארגון ומשתקים את המערכת, במטרה לאלץ ארגונים שנפגעו לשלם כופר אם ברצונם לשחזר נתונים מוצפנים.

נציג מחלקת אבטחת המידע שיתף עם כתבי VietNamNet בזמן התקיפה על מערכת VNDIRECT לפני 5 ימים, מנקודת מבטה של ​​היחידה שהשתתפה בתיאום פעילויות תמיכה בתגובה לאירועים, ואמר: "תקרית זו היא לקח חשוב להעלאת המודעות לבטיחות ואבטחת הרשת של ארגונים ועסקים בווייטנאם."

לכן, סוכנויות, ארגונים ועסקים, במיוחד אלו הפועלים בתחומים חשובים כמו פיננסים, בנקאות, ניירות ערך, אנרגיה, טלקומוניקציה וכו', צריכים לבחון ולחזק בדחיפות ובאופן יזום הן את מערכות האבטחה הקיימות והן את כוח האדם המקצועי, ובמקביל לפתח תוכניות תגובה לאירועים.

"ארגונים צריכים לעמוד בקפדנות בתקנות, בדרישות ובהנחיות שפורסמו בנושא אבטחת מידע ואבטחת רשת. זוהי אחריותו של כל ארגון וארגון להגן על עצמם ועל לקוחותיהם מפני מתקפות סייבר פוטנציאליות", הדגיש נציג מחלקת אבטחת המידע.

תוכנת הכופר LockBit נודעה לראשונה בשם ABCD על שם סיומת הקובץ המוצפנת, וכמה חודשים לאחר מכן הופיע גרסה של ABCD בשם הנוכחי Lockbit. שנה לאחר מכן, הקבוצה הוציאה גרסה משודרגת, LockBit 2.0 (הידועה גם בשם LockBit Red), שכללה תוכנה זדונית משולבת נוספת בשם StealBit למטרת גניבת מידע רגיש. LockBit 3.0, הידועה גם בשם LockBit Black, היא הגרסה האחרונה, שיצאה בשנת 2022 עם תכונות חדשות וטכניקות התחמקות משופרות.
מדוע מערכת PVOIL יכולה להתאושש במהירות לאחר מתקפת כופר?

מדוע מערכת PVOIL יכולה להתאושש במהירות לאחר מתקפת כופר?

בנוסף לגודל המערכת הלא כל כך גדול, גורם חשוב עבור PVOIL לתיקון מהיר של מתקפת הכופר ולשחזור פעולות לאחר מספר ימים בלבד הוא הודות לגיבוי נתונים.
יצירת תרבות אבטחה להגברת ההגנות מפני מתקפות כופר

יצירת תרבות אבטחה להגברת ההגנות מפני מתקפות כופר

לפי CDNetworks Vietnam, על ידי השקעה בהכשרת עובדים, יצירת תרבות אבטחה וקידום שיתוף פעולה בין עובדים לצוות האבטחה, עסקים יכולים להגביר את הגנותיהם מפני מתקפות סייבר, כולל מתקפות כופר.
תשלום כופר יעודד האקרים להגביר את מתקפות הכופר

תשלום כופר יעודד האקרים להגביר את מתקפות הכופר

מומחים מסכימים כי ארגונים המותקפים על ידי תוכנות כופר לא צריכים לשלם את הכופר להאקרים. זה יעודד האקרים לתקוף מטרות אחרות או יעודד קבוצות האקרים אחרות להמשיך לתקוף את המערכת שלהם.