A VNDIRECT rendszerét március 24-én ért kibertámadást zsarolóvírus-támadásként azonosították. Ez a támadástípus komoly aggodalomra ad okot a digitális korban működő vállalkozások és szervezetek számára. A VietNamNet cikksorozatot tett közzé „Az adattitkosítási támadások jelenlegi fenyegetése” címmel, hogy az olvasók több információt kapjanak a zsarolóvírus-támadásokról, azok veszélyeiről, valamint a megelőzésükről és a reagálásukról.

Az adattitkosító rosszindulatú programok „rémálmának” meghosszabbítása.

A VNDIRECT rendszerét ért kibertámadás, amely a vietnami tőzsde három legnagyobb szereplője közé tartozik, és március 24-én reggel történt, nagyrészt megoldódott. Az adatokat visszafejtették, és a Fiókom keresőrendszer újra online működik.

A VNDIRECT arról számolt be, hogy a március 24-i incidenst egy profi támadócsoport követte el, aminek eredményeként az összes vállalati adat titkosításra került. A zsarolóvírus-támadások az elmúlt években világszerte állandó rémálommá váltak a vállalkozások és szervezetek számára a súlyos következmények miatt. A szakértők a zsarolóvírusokat a kibertérben található „rémálomhoz” vagy „szellemhez” hasonlítják.

A szakértők úgy vélik, hogy több időre van szükség a VNDIRECT rendszertámadásának teljes megoldásához. Fotó: DL

A VNDIRECT által az ügyfeleinek és partnereinek bejelentett ütemterv szerint a rendszerek, termékek és egyéb szolgáltatások fokozatosan újraindulnak. A vállalat tervei szerint március 28-án teszteli a forgalom áramlását a tőzsdéken.

Az információbiztonsági szakértők elemzéséből azonban egyértelműen kiderül, hogy a VNDIRECT technológiai csapatának és sebezhetőség-vizsgálati szakértőinek még hosszú utat kell megtenniük az incidens alapos megoldása érdekében. A zsarolóvírus nem egy újfajta kibertámadás, de nagyon összetett, és sok időt igényel az adatok megtisztítása, a rendszer teljes visszaállítása és a normál működés visszaállítása.

„Egy zsarolóvírus-támadás teljes megoldásához néha az operációs egységnek még a rendszerarchitektúrát is meg kell változtatnia, különösen a biztonsági mentési rendszert. Ezért a VNDIRECT jelenlegi incidensével kapcsolatban úgy véljük, hogy több időre, akár hónapokra is szükség lesz a rendszer teljes helyreállításához” – mondta Vu Ngoc Son, az NCS Company műszaki igazgatója.

Nguyen Minh Hai, a Fortinet Vietnam műszaki igazgatója szerint a támadás súlyosságától, a felkészültség szintjétől és a reagálási terv hatékonyságától függően a zsarolóvírus-támadás utáni rendszer-helyreállításhoz szükséges idő nagymértékben változhat, néhány órától több hétig a teljes helyreállításig, különösen nagy mennyiségű adat helyreállítását igénylő esetekben.

„A helyreállítási folyamat része annak biztosítása, hogy az adatokat titkosító rosszindulatú programot teljesen eltávolítsák a hálózatról, és hogy ne maradjanak hátsó ajtók, amelyek lehetővé tennék a támadók számára a hozzáférés visszaszerzését” – tájékoztatott Nguyen Minh Hai úr.

A szakértők azt is megjegyezték, hogy a VNDIRECT elleni kibertámadás nemcsak „ébresztőként” szolgált a vietnami kritikus információs rendszereket kezelő és üzemeltető szervezetek számára, hanem ismét bebizonyította a zsarolóvírusok veszélyes természetét is.

Több mint hat évvel ezelőtt a WannaCry és variánsai jelentős fennakadásokat okoztak számos vállalkozás és szervezet életében, mivel gyorsan elterjedtek több mint 300 000 számítógépen közel 100 országban és területen világszerte , köztük Vietnámban is.

Az elmúlt években a vállalkozások folyamatosan aggódtak a zsarolóvírus-támadások miatt. Tavaly Vietnam kibertere számos súlyos következményekkel járó zsarolóvírus-támadást regisztrált; egyes esetekben a hackerek nemcsak titkosították az adatokat váltságdíj követelése érdekében, hanem el is adták azokat harmadik feleknek a profitjuk maximalizálása érdekében. Az NCS statisztikái szerint 2023-ban Vietnámban akár 83 000 számítógépet és szervert is támadtak zsarolóvírusok.

Az infiltrációs rendszerek gyakori „útvonalai”.

A VNDIRECT technológiai csapata információbiztonsági szakértőkkel együttműködve megoldásokat alkalmaz a rendszer teljes helyreállítására és biztonságossá tételére. Az incidens okát és a hackerek által a rendszerbe való bejutáshoz használt „utat” még vizsgálják.

Ngo Tuan Anh, az SCS Smart Cybersecurity Company vezérigazgatója szerint az adattitkosítási támadások végrehajtásához a hackerek általában úgy döntenek, hogy behatolnak a fontos adatokat tartalmazó szerverekre, és titkosítják azokat. Két gyakori módszer létezik, amelyet a hackerek a szervezeti rendszerekbe való behatolásra használnak: közvetlenül a szerverrendszer sebezhetőségein vagy gyengeségein keresztül; vagy a rendszergazda számítógépének „megkerülésével”, és ezáltal a rendszer feletti irányítás megszerzésével.

A jelszófeltörés és a nulladik napi sebezhetőségek kihasználása két gyakori módszer, amellyel a hackerek behatolnak a rendszerekbe, majd váltságdíjért titkosítják az adatokat. (Illusztráció: zephyr_p/Fotolia)

A VietNamNetnek nyilatkozva Vu The Hai úr, a VSEC Company információbiztonsági monitoring osztályának vezetője számos lehetőséget mutatott rá, amelyekkel a hackerek beszivároghatnak és rosszindulatú programokat telepíthetnek a rendszerekbe: A rendszerben meglévő sebezhetőségek kihasználása az irányítás megszerzése és a rosszindulatú programok telepítése érdekében; rosszindulatú programokat tartalmazó csatolt fájlokat tartalmazó e-mailek küldése a felhasználók megtapasztalására, hogy megnyissák és aktiválják a rosszindulatú programot; a rendszerbe való bejelentkezés a rendszerfelhasználók kiszivárgott vagy gyenge jelszavaival.

Vu Ngoc Son szakértő elemezte, hogy a zsarolóvírus-támadások során a hackerek általában többféle módon férnek hozzá a rendszerekhez, például jelszófeltöréssel, rendszer sebezhetőségeinek kihasználásával, főként a nulladik napi sebezhetőségeknek (olyan sebezhetőségek, amelyekre a gyártó még nem adott ki javításokat - PV) a kihasználásával.

„A pénzügyi vállalatoknak jellemzően meg kell felelniük a szabályozási előírásoknak, így a jelszófeltörés szinte lehetetlen. Valószínűbb forgatókönyv egy nulladik napi sebezhetőségen keresztüli támadás. Az ilyen típusú támadások során a hackerek távolról küldenek sérült adatrészleteket, ami a szoftver feldolgozás közbeni meghibásodását okozza.”

„Ezután a hacker távoli futtatható kódot futtat, és átveszi az irányítást a szolgáltató szervere felett. Erről a szerverről további információkat gyűjt, a megszerzett rendszergazdai fiókokat felhasználva támadja meg a hálózat más szervereit, végül pedig adattitkosító eszközöket futtat pénzkicsalás céljából” – elemezte Vu Ngoc Son szakértő.

A Fortinet biztonsági cég által az ázsiai- csendes-óceáni térségben, köztük Vietnamban is működő vállalkozások körében végzett új felmérés szerint a zsarolóvírusok továbbra is komoly aggodalomra adnak okot. A zsarolóvírus-támadásokon keresztüli zsarolás a gyártók legfőbb kiberbiztonsági aggálya, a megkérdezett szervezetek 36%-a számolt be arról, hogy az elmúlt évben zsarolóvírus-támadást tapasztalt, ami 23%-os növekedést jelent a Fortinet hasonló 2020-as felméréséhez képest.

2. lecke – A szakértők bemutatják, hogyan kell reagálni a zsarolóvírus-támadásokra.

Rendszerbiztonsági felmérés az online értékpapír-kereskedéshez április 15-ig: Április 15-ig kell elvégezniük az értékpapír-társaságok információbiztonsági felülvizsgálatát és értékelését, valamint intézkedéseket kell végrehajtaniuk rendszereik, beleértve az online értékpapír-kereskedést kiszolgáló rendszereket is, kockázatainak és gyengeségeinek orvoslására.