Pengeluaran laporan analisis ransomware LockBit 3.0.

Antara 24 Mac dan minggu pertama April tahun ini, ruang siber Vietnam menyaksikan satu siri serangan ransomware yang disasarkan yang menyasarkan perniagaan besar Vietnam yang beroperasi dalam sektor kritikal seperti kewangan, sekuriti, tenaga dan telekomunikasi. Serangan ini menyebabkan gangguan sistem untuk tempoh masa tertentu, mengakibatkan kerugian ekonomi yang ketara dan kerosakan kepada reputasi entiti yang disasarkan.

Melalui proses menganalisis dan menyiasat punca dan kumpulan yang baru-baru ini menyerang sistem maklumat perniagaan Vietnam, pihak berkuasa mendapati bahawa insiden ini adalah "produk" pelbagai kumpulan serangan seperti LockBit, BlackCat, Mallox, dan sebagainya. Khususnya, mengenai serangan ransomware ke atas sistem VNDIRECT pada jam 10:00 pagi, 24 Mac, yang menyulitkan semua data sebuah syarikat yang berada di antara 3 teratas di pasaran saham Vietnam, pihak berkuasa telah mengenal pasti LockBit dan perisian hasad LockBit 3.0nya sebagai pelaku.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Pusat Keselamatan Siber Negara, Jabatan A05 ( Kementerian Keselamatan Awam ) telah mengesahkan bahawa serangan ke atas sistem syarikat sekuriti VNDIRECT pada Mac 2024 telah dilakukan oleh LockBit 3.0.

Di peringkat global , kumpulan LockBit telah melancarkan pelbagai serangan ransomware yang menyasarkan perniagaan dan organisasi besar. Contohnya, pada bulan Jun dan Oktober 2023, kumpulan ransomware yang terkenal ini menyerang pengeluar semikonduktor TSMC (Taiwan, China) dan syarikat produk dan perkhidmatan IT CDW, menuntut wang tebusan sehingga $70-80 juta daripada perniagaan-perniagaan ini.

Dengan tujuan untuk membantu agensi, organisasi dan perniagaan di Vietnam lebih memahami tahap bahaya dan cara mencegah dan mengurangkan risiko daripada serangan ransomware secara umum, serta serangan oleh kumpulan LockBit khususnya, Pusat Pemantauan Keselamatan Siber Kebangsaan - NCSC di bawah Jabatan Keselamatan Maklumat (Kementerian Maklumat dan Komunikasi) telah mengumpulkan maklumat daripada sumber dalam talian dan mengeluarkan 'Laporan Analisis mengenai Ransomware LockBit 3.0'.

Kumpulan ransomware paling berbahaya di dunia.

Laporan baharu oleh NCSC memberi tumpuan kepada empat perkara utama, termasuk: Maklumat tentang kumpulan serangan ransomware LockBit; Kelompok LockBit aktif; Senarai penunjuk serangan siber berkaitan LockBit 3.0 yang direkodkan; dan Kaedah untuk mencegah dan mengurangkan risiko daripada serangan ransomware.

Mengenal pasti LockBit sebagai salah satu kumpulan ransomware terkemuka di dunia, laporan NCSC juga menyatakan bahawa sejak kemunculan awalnya pada tahun 2019, LockBit telah menjalankan pelbagai serangan yang menyasarkan perniagaan dan organisasi merentasi pelbagai sektor. Kumpulan ini beroperasi berdasarkan model 'Ransomware-as-a-Service (RaaS)', yang membolehkan pelaku ancaman menggunakan ransomware dan berkongsi keuntungan dengan mereka yang berada di sebalik perkhidmatan tersebut.

ransomware lockbit.jpg
Menurut pakar, LockBit merupakan salah satu kumpulan ransomware paling berbahaya di dunia. (Ilustrasi: Bkav)

Terutamanya, pada September 2022, kod sumber LockBit 3.0, termasuk beberapa nama yang boleh digunakan untuk membangunkan ransomware ini, telah dibocorkan oleh seorang individu bernama 'ali_qushji' di platform X (dahulunya Twitter). Kebocoran ini membolehkan pakar menganalisis ransomware LockBit 3.0 dengan lebih teliti, tetapi sejak itu, pelaku ancaman telah mencipta gelombang varian ransomware baharu berdasarkan kod sumber LockBit 3.0.

Selain menganalisis kaedah serangan kluster ransomware LockBit aktif seperti TronBit, CriptomanGizmo dan Tina Turnet, laporan NCSC juga menyediakan senarai penunjuk serangan IOC (Jenayah Operasi Pintar) yang direkodkan berkaitan LockBit 3.0 kepada agensi berkaitan. “Kami akan sentiasa mengemas kini penunjuk IOC pada halaman alert.khonggianmang.vn portal keselamatan siber kebangsaan,” kata seorang pakar NCSC.

Bahagian penting dalam 'Laporan Analisis Perisian Ransomware LockBit 3.0' ialah panduan yang diberikan kepada agensi, organisasi dan perniagaan tentang cara mencegah dan mengurangkan risiko daripada serangan ransomware. Nota penting untuk menyokong entiti Vietnam dalam mencegah dan bertindak balas terhadap serangan ransomware, seperti yang digariskan oleh Jabatan Keselamatan Siber dalam 'Buku Panduan tentang Langkah-langkah untuk Mencegah dan Mengurangkan Risiko daripada Serangan Perisian Ransomware' yang dikeluarkan pada 6 April, terus disyorkan untuk dilaksanakan oleh pakar NCSC.

W-phong-chong-tan-cong-ransomware-1.jpg
Pemantauan berterusan untuk mengesan pencerobohan sistem lebih awal adalah salah satu daripada sembilan langkah yang disyorkan oleh Agensi Keselamatan Siber untuk dilaksanakan oleh organisasi bagi mencegah serangan ransomware. (Ilustrasi: Khanh Linh)

Menurut pakar, serangan ransomware semasa sering berpunca daripada kelemahan keselamatan dalam sesebuah organisasi. Penyerang menyusup masuk ke dalam sistem, mengekalkan kehadiran, meluaskan jangkauan mereka, mengawal infrastruktur IT organisasi dan melumpuhkan sistem, dengan matlamat memaksa organisasi mangsa membayar wang tebusan untuk mendapatkan semula data mereka yang disulitkan.

Bercakap kepada wartawan VietNamNet lima hari selepas serangan ke atas sistem VNDIRECT, seorang wakil dari Jabatan Keselamatan Maklumat, yang bercakap dari perspektif unit yang menyelaras tindak balas insiden, menyatakan: Insiden ini merupakan pengajaran penting untuk meningkatkan kesedaran tentang keselamatan siber dalam kalangan organisasi dan perniagaan di Vietnam.

Oleh itu, agensi, organisasi dan perniagaan, terutamanya yang beroperasi dalam sektor kritikal seperti kewangan, perbankan, sekuriti, tenaga dan telekomunikasi, perlu segera dan proaktif menyemak dan memperkukuh sistem keselamatan dan kakitangan sedia ada mereka, di samping membangunkan pelan tindak balas insiden.

"Organisasi perlu mematuhi sepenuhnya peraturan, keperluan dan garis panduan mengenai keselamatan maklumat dan keselamatan siber yang telah dikeluarkan. Ini adalah tanggungjawab setiap organisasi dan perniagaan untuk melindungi dirinya dan pelanggannya daripada potensi risiko serangan siber," tegas seorang wakil dari Jabatan Keselamatan Maklumat.

Ransomware LockBit pada mulanya dikenali sebagai ABCD, dinamakan sempena sambungan fail yang disulitkan, dan selepas beberapa bulan, varian ABCD muncul di bawah nama semasanya, Lockbit. Setahun kemudian, kumpulan itu mengeluarkan versi yang dinaik taraf, LockBit 2.0 (juga dikenali sebagai LockBit Red), yang merangkumi satu lagi perisian hasad bersepadu yang dipanggil StealBit, yang bertujuan untuk mencuri data sensitif. LockBit 3.0, atau LockBit Black, ialah versi terkini, yang dikeluarkan pada tahun 2022, dengan ciri baharu dan teknik pemintasan keselamatan yang canggih.
Mengapakah sistem PVOIL dapat pulih begitu cepat selepas serangan ransomware?

Mengapakah sistem PVOIL dapat pulih begitu cepat selepas serangan ransomware?

Selain saiz sistemnya yang agak kecil, faktor penting yang membolehkan PVOIL menyelesaikan serangan ransomware dengan cepat dan memulihkan operasi dalam masa beberapa hari sahaja ialah data sandarannya.
Membangunkan budaya keselamatan untuk meningkatkan pertahanan terhadap serangan ransomware.

Membangunkan budaya keselamatan untuk meningkatkan pertahanan terhadap serangan ransomware.

Menurut CDNetworks Vietnam, dengan melabur dalam latihan pekerja, memupuk budaya keselamatan dan menggalakkan kerjasama antara pekerja dan pasukan keselamatan, perniagaan boleh meningkatkan pertahanan mereka terhadap serangan siber, termasuk serangan ransomware.
Membayar wang tebusan untuk data akan menggalakkan penggodam meningkatkan serangan ransomware.

Membayar wang tebusan untuk data akan menggalakkan penggodam meningkatkan serangan ransomware.

Pakar bersetuju bahawa organisasi yang dilanda serangan ransomware tidak seharusnya membayar wang tebusan kepada penggodam. Berbuat demikian akan menggalakkan penggodam menyerang sasaran lain atau menggalakkan kumpulan penggodam lain menyerang sistem organisasi sekali lagi.