A VNDIRECT rendszer elleni március 24-i kibertámadást adattitkosító kártevőként – zsarolóvírusként – azonosították. Ez a támadástípus komoly aggodalomra ad okot a digitális korban működő vállalkozások és szervezetek számára. Annak érdekében, hogy az olvasók többet megtudjanak a zsarolóvírus-támadásokról, a veszély szintjéről, valamint a megelőzés és a reagálás módjáról, a VietNamNet cikksorozatot készített „Az adattitkosító támadások egzisztenciális veszélye” címmel.

Az adattitkosító rosszindulatú programok „rémálmának” kiterjesztése

A vietnami tőzsde top 3-ában szereplő VNDIRECT rendszer elleni kibertámadást, amely március 24-én reggel történt, lényegében sikerült megoldani. Az adatokat dekódolták, és a Saját fiók keresőrendszer újra működik.

A VNDIRECT beszámolója szerint a március 24-i incidenst egy profi támadócsoport követte el, aminek következtében az összes vállalati adat titkosításra került. Az adattitkosító kártevő támadások – a zsarolóvírusok – az elmúlt években mindig is rémálomként hatottak a vállalkozások és szervezetek számára világszerte, mivel súlyos következményekkel járhatnak. A szakértők a zsarolóvírusokat a kibertérben található „rémálomhoz” és „szellemhez” is hasonlítják.

Szakértők szerint több időre van szükség a VNDIRECT rendszer elleni támadás teljes helyreállításához. Fotó: DL

A VNDIRECT ügyfeleinek és partnereinek bejelentett ütemterv szerint az operatív egység továbbra is fokozatosan újraindítja a rendszereket, termékeket és egyéb közműveket. Az egység tervei szerint március 28-án egyeztet a tőzsdékkel az áramlásról.

Az információbiztonsági szakértők elemzéséből azonban látható, hogy a VNDIRECT technológiai csapatának és szakértőinek nehéz napjai még hosszúak a sebezhetőségek felkutatásával és a probléma alapos megoldásával. A zsarolóvírusok nem újfajta kibertámadások, de nagyon bonyolultak, sok időt igényelnek az adatok megtisztítása, a rendszer teljes visszaállítása és a normál működés visszaállítása.

„Egy zsarolóvírus-támadás teljes elhárításához néha az operációs egységnek meg kell változtatnia a rendszer architektúráját, különösen a biztonsági mentési rendszerét. Ezért a VNDIRECT által tapasztalt incidens miatt úgy gondoljuk, hogy több időbe, akár hónapokba is telhet, mire a rendszer teljesen helyreáll” – mondta Vu Ngoc Son, az NCS műszaki igazgatója.

Nguyen Minh Hai, a Fortinet Vietnam műszaki igazgatója elmondta, hogy a támadás súlyosságától, az előzetes felkészülés képességétől és a reagálási terv hatékonyságától függően a zsarolóvírus-támadás utáni rendszer helyreállításához szükséges idő nagymértékben változhat, néhány órától több hétig is eltarthat a teljes helyreállításig, különösen azokban az esetekben, amikor nagy mennyiségű adatot kell helyreállítani.

„A helyreállítási folyamat részeként biztosítani kell, hogy az adattitkosító kártevőt teljesen eltávolítsák a hálózatról, és hogy ne maradjanak olyan hátsó ajtók, amelyek lehetővé tennék a támadók számára a hozzáférés visszaszerzését” – mondta Nguyen Minh Hai.

A szakértők azt is megjegyezték, hogy a VNDIRECT elleni kibertámadás nemcsak „ébresztőként” szolgált a Vietnám fontos információs rendszereit kezelő és üzemeltető egységek számára, hanem ismét megmutatta a zsarolóvírusok veszélyességi szintjét is.

Több mint 6 évvel ezelőtt a WannaCry és az adattitkosító rosszindulatú programjai számos vállalkozást és szervezetet „küzdöttek” meg, amikor gyorsan elterjedtek több mint 300 000 számítógépen közel 100 országban és területen világszerte , köztük Vietnámban is.

Az utóbbi években a vállalkozásokat mindig is aggasztották a zsarolóvírus-támadások. Tavaly Vietnam kibertere számos súlyos következményekkel járó zsarolóvírus-támadást regisztrált; voltak olyan esetek, amikor a hackerek nemcsak titkosították az adatokat váltságdíj követelése érdekében, hanem el is adták azokat harmadik feleknek, hogy maximalizálják a behajtott pénzösszeget. Az NCS statisztikái szerint 2023-ban akár 83 000 számítógépet és szervert is regisztráltak zsarolóvírus-támadások áldozatául esett Vietnámban.

Gyakori „utak” a rendszerbe való behatoláshoz

A VNDIRECT technológiai csapata információbiztonsági szakértőkkel együttműködve olyan megoldásokat telepít, amelyekkel teljes mértékben visszaállítható a rendszer, miközben garantálják a rendszer biztonságát. Az incidens okát és a hacker által a rendszerbe való behatoláshoz használt „útvonalat” még vizsgálják.

Ngo Tuan Anh úr, az SCS Smart Network Security Company vezérigazgatója szerint az adattitkosítás megtámadására a hackerek gyakran úgy döntenek, hogy behatolnak a fontos adatokat tartalmazó szerverre, és titkosítják az adatokat. A hackerek kétféleképpen jutnak be a rendszeregységekbe: közvetlenül a szerverrendszer sebezhetőségein és gyengeségein keresztül, vagy „megkerülik” a rendszergazda számítógépét, és onnan veszik át az irányítást a rendszer felett.

A jelszó kitalálása és a nulladik napi sebezhetőségek kihasználása két olyan „út”, amelyet a hackerek gyakran használnak a rendszerbe való behatoláshoz, onnan pedig zsarolás céljából titkosítják az adatokat. Illusztrációs fotó: zephyr_p/Fotolia

A VietNamNetnek adott interjújában Vu The Hai úr, a VSEC Company információbiztonsági monitoring osztályának vezetője rámutatott néhány lehetőségre, amelyekkel a hackerek beszivároghatnak és rosszindulatú programokat telepíthetnek a rendszerbe: A rendszeren meglévő sebezhetőségek kihasználása az irányítás átvétele és rosszindulatú programok telepítése érdekében; rosszindulatú programokat tartalmazó csatolt fájlokat tartalmazó e-mailek küldése a felhasználók megtévesztésére a nyílt rendszerben, rosszindulatú programok aktiválása; a rendszerbe való bejelentkezés kiszivárgott jelszavakkal vagy a rendszerfelhasználók gyenge jelszavaival.

Vu Ngoc Son szakértő elemzése szerint a zsarolóvírus-támadások során a hackerek gyakran számos módon jutnak be a rendszerbe, például jelszó-felderítéssel, a rendszer sebezhetőségeinek kihasználásával, főként a nulladik napi sebezhetőségekkel (olyan sebezhetőségekkel, amelyeket a gyártó még nem javított ki - PV).

„A pénzügyi vállalatoknak általában meg kell felelniük a szabályozási előírásoknak, így a jelszó felderítésének lehetősége szinte lehetetlen. A legvalószínűbb lehetőség egy nulladik napi sebezhetőségen keresztüli támadás. Ennek megfelelően a hackerek távolról küldenek hibát okozó adatszegmenseket, amelyek feldolgozáskor a szoftver ellenőrizetlen állapotba kerülését okozzák.”

„Ezután a hacker távoli kódfuttatást futtat, és átveszi az irányítást a szolgáltató szervere felett. Erről a szerverről a hacker folytatja az információk gyűjtését, a megszerzett adminisztrátori fiókokat felhasználva támadja a hálózat más szervereit, végül pedig adattitkosító eszközöket futtat zsarolás céljából” – elemezte Vu Ngoc Son szakértő.

A Fortinet biztonsági cég által az ázsiai- csendes-óceáni térségben, köztük Vietnamban is működő vállalkozások körében végzett új felmérés szerint: A zsarolóvírusok továbbra is komoly aggodalomra adnak okot. A zsarolóvírus-támadásokon keresztüli zsarolás a gyártók legfőbb kiberbiztonsági aggálya, a megkérdezett szervezetek 36%-a számolt be arról, hogy az elmúlt évben zsarolóvírus-támadást tapasztalt, ami 23%-os növekedés a Fortinet 2020-as hasonló felméréséhez képest.

2. lecke – A szakértők bemutatják, hogyan reagáljunk a zsarolóvírus-támadásokra

Április 15-e a határidő, amíg az értékpapír-társaságok befejezik az információbiztonság felülvizsgálatát és értékelését, valamint intézkedéseket kell végrehajtaniuk a rendszerek, köztük az online értékpapír-tranzakciókat kiszolgáló rendszer kockázatainak és gyengeségeinek leküzdésére.