Het 'pad' dat hackers gebruiken om systemen te infiltreren en dataversleutelingsaanvallen uit te voeren.

Het "nachtmerrie" van dataversleutelende malware wordt steeds groter.

De cyberaanval op het systeem van VNDIRECT, een bedrijf dat tot de top 3 van de Vietnamese aandelenmarkt behoort, die plaatsvond op de ochtend van 24 maart, is grotendeels opgelost. De gegevens zijn gedecodeerd en het 'Mijn Account'-systeem is weer online.

VNDIRECT meldt dat het incident op 24 maart werd uitgevoerd door een professionele aanvalsgroep, met als gevolg de versleuteling van alle bedrijfsgegevens. Ransomware-aanvallen zijn de afgelopen jaren een constante nachtmerrie geweest voor bedrijven en organisaties wereldwijd vanwege de ernstige gevolgen die ze kunnen hebben. Experts vergelijken ransomware zelfs met een "nachtmerrie" of "spook" in de cyberwereld.

Volgens het stappenplan dat VNDIRECT aan haar klanten en partners heeft bekendgemaakt, zullen de systemen, producten en andere diensten geleidelijk weer worden opgestart. Het bedrijf is van plan om op 28 maart een test uit te voeren met betrekking tot de verkeersstroom via de beurzen.

Uit de analyse van informatiebeveiligingsexperts blijkt echter dat het technologieteam en de experts op het gebied van kwetsbaarheidsscans van VNDIRECT nog een lange weg te gaan hebben om het incident volledig op te lossen. Ransomware is geen nieuwe vorm van cyberaanval, maar het is een zeer complexe aanval die veel tijd vergt om gegevens te herstellen, het systeem volledig te repareren en de normale bedrijfsvoering te hervatten.

"Om een ​​ransomware-aanval volledig op te lossen, moet de operationele eenheid soms zelfs de systeemarchitectuur aanpassen, met name het back-upsysteem. Daarom verwachten we dat het, gezien het incident waarmee VNDIRECT momenteel te maken heeft, meer tijd, mogelijk zelfs maanden, zal kosten voordat het systeem volledig hersteld is", aldus Vu Ngoc Son, technisch directeur van NCS Company.

Volgens de heer Nguyen Minh Hai, technisch directeur van Fortinet Vietnam, kan de tijd die nodig is om het systeem na een ransomware-aanval te herstellen sterk variëren, afhankelijk van de ernst van de aanval, de mate van voorbereiding en de effectiviteit van het herstelplan. Dit kan variëren van enkele uren tot meerdere weken voor een volledig herstel, vooral in gevallen waarin een grote hoeveelheid gegevens moet worden hersteld.

"Onderdeel van dit herstelproces is ervoor te zorgen dat de malware die gegevens versleutelt volledig van het netwerk is verwijderd en dat er geen achterdeuren zijn achtergebleven die aanvallers in staat zouden kunnen stellen opnieuw toegang te krijgen", aldus de heer Nguyen Minh Hai.

Experts merkten ook op dat de cyberaanval op VNDIRECT, naast dat het een "wake-up call" was voor de entiteiten die kritieke informatiesystemen in Vietnam beheren en exploiteren, eens te meer het gevaarlijke karakter van ransomware aantoonde.

Meer dan zes jaar geleden veroorzaakte WannaCry, samen met varianten daarvan, aanzienlijke problemen voor veel bedrijven en organisaties, doordat het zich razendsnel verspreidde naar meer dan 300.000 computers in bijna 100 landen en gebieden wereldwijd , waaronder Vietnam.

De afgelopen jaren hebben bedrijven zich constant zorgen gemaakt over ransomware-aanvallen. Vorig jaar kende het Vietnamese internet een groot aantal ransomware-aanvallen met ernstige gevolgen; in sommige gevallen versleutelden hackers niet alleen gegevens om losgeld te eisen, maar verkochten ze de gegevens ook aan derden om hun winst te maximaliseren. Volgens statistieken van het Nationaal Centraal Bureau voor de Statistiek (NCS) werden in 2023 maar liefst 83.000 computers en servers in Vietnam getroffen door ransomware.

Veelvoorkomende 'routes' voor infiltrerende systemen.

Het technologieteam van VNDIRECT werkt samen met experts op het gebied van informatiebeveiliging aan oplossingen om het systeem volledig te herstellen en te beveiligen. De oorzaak van het incident en de manier waarop de hackers het systeem zijn binnengedrongen, worden nog onderzocht.

Volgens de heer Ngo Tuan Anh, CEO van SCS Smart Cybersecurity Company, kiezen hackers er bij dataversleutelingsaanvallen meestal voor om servers met belangrijke gegevens te infiltreren en deze te versleutelen. Er zijn twee veelgebruikte methoden die hackers toepassen om organisatiesystemen binnen te dringen: rechtstreeks via kwetsbaarheden of zwakke punten in het serversysteem; of door de computer van de beheerder te omzeilen en zo de controle over het systeem te verkrijgen.

In een gesprek met VietNamNet wees de heer Vu The Hai, hoofd van de afdeling Informatiebeveiligingsmonitoring bij VSEC, op verschillende mogelijkheden voor hackers om systemen te infiltreren en malware te installeren: het misbruiken van bestaande kwetsbaarheden in het systeem om de controle te verkrijgen en malware te installeren; het versturen van e-mails met bijlagen die malware bevatten om gebruikers ertoe te verleiden de bestanden te openen en de malware te activeren; en het inloggen op het systeem met gelekte of zwakke wachtwoorden van systeemgebruikers.

Expert Vu Ngoc Son analyseerde dat hackers bij ransomware-aanvallen doorgaans op verschillende manieren toegang krijgen tot systemen, bijvoorbeeld door wachtwoorden te kraken en systeemkwetsbaarheden te misbruiken, met name zero-day-kwetsbaarheden (kwetsbaarheden waarvoor de fabrikant nog geen patches heeft uitgebracht - PV).

"Financiële bedrijven moeten doorgaans voldoen aan wettelijke normen, waardoor het kraken van wachtwoorden vrijwel onmogelijk is. Een waarschijnlijker scenario is een aanval via een zero-day-kwetsbaarheid. Bij dit type aanval versturen hackers op afstand beschadigde datafragmenten, waardoor de software tijdens de verwerking niet meer goed functioneert."

Vervolgens voert de hacker op afstand uitvoerbare code uit en neemt hij de controle over de serviceserver over. Vanaf deze server verzamelt de hacker verdere informatie, gebruikt hij de verkregen beheerdersaccounts om andere servers in het netwerk aan te vallen en voert hij ten slotte dataversleutelingsprogramma's uit om geld af te persen," analyseerde expert Vu Ngoc Son.

Les 2 - Experts laten zien hoe je moet reageren op ransomware-aanvallen.

Systeembeveiligingsbeoordeling voor online effectenhandel vóór 15 april: 15 april is de deadline voor effectenbedrijven om de beoordeling van de informatiebeveiliging af te ronden en maatregelen te implementeren om risico's en zwakke punten in hun systemen, inclusief systemen voor online effectenhandel, te verhelpen.