Publicatie van het analyseverslag over de LockBit 3.0 ransomware.

Tussen 24 maart en de eerste week van april van dit jaar werd het Vietnamese internet getroffen door een reeks gerichte ransomware-aanvallen op grote Vietnamese bedrijven in cruciale sectoren zoals financiën, effectenhandel, energie en telecommunicatie. Deze aanvallen veroorzaakten tijdelijke systeemstoringen, met aanzienlijke economische verliezen en reputatieschade tot gevolg voor de getroffen bedrijven.

Door de oorzaken en groepen te analyseren die recentelijk de informatiesystemen van Vietnamese bedrijven hebben aangevallen, hebben de autoriteiten vastgesteld dat deze incidenten het gevolg zijn van diverse aanvalsgroepen zoals LockBit, BlackCat, Mallox, enzovoort. Met name wat betreft de ransomware-aanval op het systeem van VNDIRECT op 24 maart om 10:00 uur, waarbij alle gegevens van een bedrijf dat tot de top 3 van de Vietnamese aandelenmarkt behoort, werden versleuteld, hebben de autoriteiten LockBit en de LockBit 3.0-malware als daders geïdentificeerd.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Het Nationaal Centrum voor Cyberbeveiliging, Afdeling A05 ( Ministerie van Openbare Veiligheid ), heeft bevestigd dat de aanval op het systeem van effectenbedrijf VNDIRECT in maart 2024 is uitgevoerd door LockBit 3.0.

De LockBit-groep heeft wereldwijd talloze ransomware-aanvallen uitgevoerd op grote bedrijven en organisaties. Zo viel deze beruchte ransomwaregroep in juni en oktober 2023 de halfgeleiderfabrikant TSMC (Taiwan, China) en het IT-producten- en dienstenbedrijf CDW aan en eiste losgeld van maar liefst 70 tot 80 miljoen dollar van deze bedrijven.

Met als doel overheidsinstanties, organisaties en bedrijven in Vietnam te helpen de mate van gevaar beter te begrijpen en de risico's van ransomware-aanvallen in het algemeen, en aanvallen van de LockBit-groep in het bijzonder, te voorkomen en te beperken, heeft het Nationaal Centrum voor Cyberbeveiligingsmonitoring (NCSC) van het Departement voor Informatiebeveiliging (Ministerie van Informatie en Communicatie) informatie uit online bronnen verzameld en het 'Analyserapport over LockBit 3.0 Ransomware' gepubliceerd.

De gevaarlijkste ransomwaregroep ter wereld.

Het nieuwe rapport van het NCSC richt zich op vier hoofdpunten, waaronder: informatie over de LockBit-ransomware-aanvalsgroep; actieve LockBit-clusters; een lijst met geregistreerde indicatoren voor cyberaanvallen gerelateerd aan LockBit 3.0; en methoden voor het voorkomen en beperken van risico's van ransomware-aanvallen.

Het NCSC-rapport identificeerde LockBit als een van 's werelds toonaangevende ransomwaregroepen en stelde tevens dat LockBit sinds zijn eerste verschijning in 2019 talloze aanvallen heeft uitgevoerd op bedrijven en organisaties in diverse sectoren. De groep opereert volgens een 'Ransomware-as-a-Service (RaaS)'-model, waardoor cybercriminelen ransomware kunnen verspreiden en de winst kunnen delen met degenen die de dienst aanbieden.

ransomware lockbit.jpg
Volgens experts is LockBit een van de gevaarlijkste ransomwaregroepen ter wereld. (Illustratie: Bkav)

In september 2022 werd de broncode van LockBit 3.0, inclusief verschillende namen die gebruikt zouden kunnen worden voor de ontwikkeling van deze ransomware, gelekt door een persoon genaamd 'ali_qushji' op het X-platform (voorheen Twitter). Dit lek stelde experts in staat de LockBit 3.0-ransomware nauwkeuriger te analyseren, maar sindsdien hebben cybercriminelen een golf van nieuwe ransomwarevarianten ontwikkeld op basis van de LockBit 3.0-broncode.

Naast het analyseren van de aanvalsmethoden van actieve LockBit-ransomwareclusters zoals TronBit, CriptomanGizmo en Tina Turnet, biedt het NCSC-rapport de relevante instanties ook een lijst met geregistreerde IOC-aanvalsindicatoren (Intelligent Operational Crime) met betrekking tot LockBit 3.0. "We zullen de IOC-indicatoren continu bijwerken op de pagina alert.khonggianmang.vn van het nationale cybersecurityportaal", aldus een NCSC-expert.

Een bijzonder belangrijk onderdeel van het 'LockBit 3.0 Ransomware Analysis Report' is de richtlijn voor instanties, organisaties en bedrijven over hoe ze de risico's van ransomware-aanvallen kunnen voorkomen en beperken. Belangrijke aanbevelingen ter ondersteuning van Vietnamese entiteiten bij het voorkomen van en reageren op ransomware-aanvallen, zoals uiteengezet door de afdeling Cybersecurity in het 'Handboek met maatregelen ter voorkoming en beperking van risico's van ransomware-aanvallen' dat op 6 april is gepubliceerd, worden nog steeds aanbevolen door NCSC-experts.

W-phong-chong-tan-cong-ransomware-1.jpg
Continue monitoring om systeeminbraken vroegtijdig te detecteren is een van de negen maatregelen die het Cybersecurity Agency organisaties aanbeveelt te implementeren ter voorkoming van ransomware-aanvallen. (Illustratie: Khanh Linh)

Volgens experts vinden ransomware-aanvallen tegenwoordig vaak hun oorsprong in een beveiligingslek binnen een organisatie. Aanvallers infiltreren het systeem, behouden hun aanwezigheid, breiden hun bereik uit, nemen de controle over de IT-infrastructuur van de organisatie over en verlammen het systeem, met als doel de slachtoffers te dwingen losgeld te betalen om hun versleutelde gegevens terug te krijgen.

Vijf dagen na de aanval op het VNDIRECT-systeem vertelde een vertegenwoordiger van de afdeling Informatiebeveiliging aan verslaggevers van VietNamNet , vanuit het perspectief van de eenheid die de incidentrespons coördineerde: "Dit incident is een belangrijke les om het bewustzijn van cyberbeveiliging onder organisaties en bedrijven in Vietnam te vergroten."

Daarom moeten instanties, organisaties en bedrijven, met name die actief zijn in kritieke sectoren zoals financiën, bankwezen, effectenhandel, energie en telecommunicatie, dringend en proactief hun bestaande beveiligingssystemen en -personeel herzien en versterken, en tegelijkertijd incidentresponsplannen ontwikkelen.

"Organisaties moeten zich strikt houden aan de uitgevaardigde regelgeving, eisen en richtlijnen inzake informatiebeveiliging en cyberbeveiliging. Het is de verantwoordelijkheid van elke organisatie en elk bedrijf om zichzelf en zijn klanten te beschermen tegen potentiële cyberaanvallen", benadrukte een vertegenwoordiger van de afdeling Informatiebeveiliging.

De LockBit-ransomware stond aanvankelijk bekend als ABCD, genoemd naar de versleutelde bestandsextensie. Enkele maanden later verscheen een variant van ABCD onder de huidige naam Lockbit. Een jaar later bracht de groep een verbeterde versie uit, LockBit 2.0 (ook bekend als LockBit Red), die een andere geïntegreerde malware bevatte, genaamd StealBit, gericht op het stelen van gevoelige gegevens. LockBit 3.0, of LockBit Black, is de nieuwste versie, uitgebracht in 2022, met nieuwe functies en geavanceerde technieken om beveiligingslekken te omzeilen.
Waarom kon het PVOIL-systeem zo snel herstellen na een ransomware-aanval?

Waarom kon het PVOIL-systeem zo snel herstellen na een ransomware-aanval?

Naast de relatief kleine systeemgrootte was een cruciale factor waardoor PVOIL de ransomware-aanval snel kon afhandelen en de systemen binnen enkele dagen kon herstellen, de beschikbaarheid van back-upgegevens.
Ontwikkel een veiligheidscultuur om de verdediging tegen ransomware-aanvallen te versterken.

Ontwikkel een veiligheidscultuur om de verdediging tegen ransomware-aanvallen te versterken.

Volgens CDNetworks Vietnam kunnen bedrijven hun verdediging tegen cyberaanvallen, waaronder ransomware-aanvallen, versterken door te investeren in de training van werknemers, een veiligheidscultuur te bevorderen en de samenwerking tussen werknemers en beveiligingsteams te stimuleren.
Het betalen van losgeld voor data zal hackers aanmoedigen om hun ransomware-aanvallen op te voeren.

Het betalen van losgeld voor data zal hackers aanmoedigen om hun ransomware-aanvallen op te voeren.

Deskundigen zijn het erover eens dat organisaties die getroffen zijn door ransomware-aanvallen het losgeld niet aan de hackers moeten betalen. Dit zou de hackers aanmoedigen om andere doelen aan te vallen of andere hackergroepen ertoe aanzetten om de systemen van de organisatie opnieuw aan te vallen.