Penggodam 'laluan' gunakan untuk menyusup masuk ke sistem dan melancarkan serangan penyulitan data.

Memperluaskan "mimpi ngeri" perisian hasad penyulitan data.

Serangan siber ke atas sistem VNDIRECT, sebuah syarikat yang berada di antara 3 teratas dalam pasaran saham Vietnam, yang berlaku pada pagi 24 Mac, kini sebahagian besarnya telah diselesaikan. Data telah dinyahsulit dan sistem carian Akaun Saya kembali dalam talian.

VNDIRECT telah melaporkan bahawa insiden pada 24 Mac telah dilakukan oleh kumpulan serangan profesional, mengakibatkan penyulitan semua data syarikat. Serangan perisian tebusan (ransomware) telah menjadi mimpi ngeri yang berterusan bagi perniagaan dan organisasi di seluruh dunia sejak kebelakangan ini disebabkan oleh akibat buruk yang boleh ditimbulkannya. Pakar juga menyamakan perisian tebusan (ransomware) dengan "mimpi ngeri" atau "hantu" di ruang siber.

Menurut pelan tindakan yang diumumkan oleh VNDIRECT kepada pelanggan dan rakan kongsinya, sistem, produk dan perkhidmatan lain akan terus dibuka semula secara beransur-ansur. Syarikat itu merancang untuk menguji aliran trafik dengan bursa saham pada 28 Mac.

Walau bagaimanapun, daripada analisis pakar keselamatan maklumat, jelas bahawa perjalanan sukar bagi pasukan teknologi VNDIRECT dan pakar pengimbasan kerentanan untuk menyelesaikan insiden tersebut secara menyeluruh masih panjang. Ransomware bukanlah satu bentuk serangan siber yang baharu, tetapi ia sangat kompleks dan memerlukan banyak masa untuk membersihkan data, memulihkan sepenuhnya sistem dan mengembalikan operasi normal kepada normal.

“Untuk menyelesaikan sepenuhnya serangan ransomware, kadangkala unit operasi perlu mengubah seni bina sistem, terutamanya sistem sandaran. Oleh itu, dengan insiden yang sedang dihadapi oleh VNDIRECT, kami percaya ia akan mengambil lebih banyak masa, malah berbulan-bulan, untuk sistem pulih sepenuhnya,” kata Vu Ngoc Son, Pengarah Teknikal Syarikat NCS.

Menurut Encik Nguyen Minh Hai, Pengarah Teknikal Fortinet Vietnam, bergantung pada tahap keterukan serangan, tahap persediaan dan keberkesanan pelan tindak balas, masa yang diperlukan untuk memulihkan sistem selepas serangan ransomware boleh berbeza-beza, dari beberapa jam hingga beberapa minggu untuk pemulihan sepenuhnya, terutamanya dalam kes yang memerlukan pemulihan sejumlah besar data.

"Sebahagian daripada proses pemulihan ini termasuk memastikan bahawa perisian hasad penyulitan data telah dialih keluar sepenuhnya daripada rangkaian dan tiada pintu belakang ditinggalkan yang boleh membenarkan penyerang mendapatkan semula akses," Encik Nguyen Minh Hai memaklumkan.

Pakar juga menyatakan bahawa, selain berfungsi sebagai "seruan bangun" untuk entiti yang mengurus dan mengendalikan sistem maklumat kritikal di Vietnam, serangan siber ke atas VNDIRECT sekali lagi menunjukkan sifat berbahaya ransomware.

Lebih enam tahun yang lalu, WannaCry dan variannya telah menyebabkan gangguan yang ketara kepada banyak perniagaan dan organisasi apabila ia merebak dengan pantas ke lebih 300,000 komputer di hampir 100 negara dan wilayah di seluruh dunia , termasuk Vietnam.

Dalam beberapa tahun kebelakangan ini, perniagaan sentiasa bimbang tentang serangan ransomware. Tahun lepas, ruang siber Vietnam mencatatkan banyak serangan ransomware dengan akibat yang serius; dalam beberapa kes, penggodam bukan sahaja menyulitkan data untuk menuntut wang tebusan, tetapi juga menjual data tersebut kepada pihak ketiga untuk memaksimumkan keuntungan mereka. Menurut statistik NCS, pada tahun 2023, sehingga 83,000 komputer dan pelayan di Vietnam dilaporkan telah diserang oleh ransomware.

'Laluan' biasa untuk sistem penyusupan.

Pasukan teknologi VNDIRECT, bersama-sama pakar keselamatan maklumat, sedang melaksanakan penyelesaian untuk memulihkan dan mengamankan sistem sepenuhnya. Punca kejadian dan 'laluan' yang digunakan oleh penggodam untuk menyusup masuk ke dalam sistem masih dalam siasatan.

Menurut Encik Ngo Tuan Anh, Ketua Pegawai Eksekutif SCS Smart Cybersecurity Company, untuk menjalankan serangan penyulitan data, penggodam biasanya memilih untuk menyusup masuk ke pelayan yang mengandungi data penting dan menyulitkannya. Terdapat dua kaedah biasa yang digunakan oleh penggodam untuk menembusi sistem organisasi: secara langsung melalui kerentanan atau kelemahan dalam sistem pelayan; atau dengan "memintas" komputer pentadbir dan dengan itu mendapat kawalan ke atas sistem.

Bercakap dengan VietNamNet , Encik Vu The Hai, Ketua Jabatan Pemantauan Keselamatan Maklumat di VSEC Company, turut menunjukkan beberapa kemungkinan penggodam menyusup masuk dan memasang perisian hasad ke dalam sistem: Mengeksploitasi kelemahan sedia ada dalam sistem untuk mendapatkan kawalan dan memasang perisian hasad; menghantar e-mel dengan fail terlampir yang mengandungi perisian hasad untuk memperdaya pengguna agar membuka dan mengaktifkan perisian hasad; log masuk ke sistem menggunakan kata laluan pengguna sistem yang bocor atau lemah.

Pakar Vu Ngoc Son menganalisis bahawa dengan serangan ransomware, penggodam biasanya mendapat akses kepada sistem melalui beberapa cara seperti peretasan kata laluan, mengeksploitasi kerentanan sistem, terutamanya kerentanan zero-day (kerentanan yang mana pengeluar belum mengeluarkan tampalan - PV).

"Syarikat kewangan biasanya perlu memenuhi piawaian kawal selia, jadi pemecahan kata laluan hampir mustahil. Senario yang lebih berkemungkinan ialah serangan melalui kerentanan hari sifar. Dalam serangan jenis ini, penggodam menghantar coretan data yang rosak dari jauh, menyebabkan perisian tidak berfungsi semasa pemprosesan."

Seterusnya, penggodam menjalankan kod boleh laku jarak jauh dan mengambil alih kawalan pelayan perkhidmatan. Daripada pelayan ini, penggodam mengumpul maklumat lanjut, menggunakan akaun pentadbir yang diperolehi untuk menyerang pelayan lain dalam rangkaian, dan akhirnya menjalankan alat penyulitan data untuk memeras ugut wang,” pakar Vu Ngoc Son menganalisis.

Pelajaran 2 - Pakar menunjukkan cara untuk bertindak balas terhadap serangan ransomware.

Penilaian keselamatan sistem untuk perdagangan sekuriti dalam talian menjelang 15 April: 15 April ialah tarikh akhir bagi syarikat sekuriti untuk melengkapkan semakan dan penilaian keselamatan maklumat dan melaksanakan langkah-langkah untuk memperbaiki risiko dan kelemahan dalam sistem mereka, termasuk sistem yang menyediakan perkhidmatan perdagangan sekuriti dalam talian.