Hoe gevaarlijk is de Lockbit 3.0-ransomware die VNDIRECT aanvalt?

LockBit 3.0 Ransomware-analyserapport gepubliceerd

Gedurende de 3 weken van 24 maart tot de eerste week van april van dit jaar registreerde het Vietnamese cyberspace opeenvolgende gerichte aanvallen in de vorm van ransomware op grote Vietnamese ondernemingen die actief waren in belangrijke sectoren zoals financiën, effecten, energie, telecommunicatie, enz. Deze aanvallen zorgden ervoor dat de systemen van de ondernemingen voor een bepaalde tijd werden stilgelegd, wat aanzienlijke economische en reputatieschade veroorzaakte bij de eenheden waarvan de systemen het doelwit waren van cybercriminele groepen.

Tijdens het proces van het analyseren en onderzoeken van de oorzaken en groepen van personen die onlangs de informatiesystemen van Vietnamese bedrijven hebben aangevallen, ontdekten de autoriteiten dat deze incidenten het 'product' waren van veel verschillende aanvalsgroepen, zoals LockBit, BlackCat, Mallox... In het bijzonder met betrekking tot de ransomware-aanval op het VNDIRECT-systeem om 10:00 uur op 24 maart, waarbij alle gegevens van bedrijven in de grootste 3 van de Vietnamese aandelenmarkt werden versleuteld, identificeerden de autoriteiten de LockBit-groep met de LockBit 3.0-malware als degene die achter dit incident zat.

Wereldwijd heeft de LockBit-groep talloze ransomware-aanvallen uitgevoerd die gericht waren op grote bedrijven en organisaties. Zo viel deze beruchte ransomwaregroep in 2023 respectievelijk in juni en oktober de halfgeleiderfabrikant TSMC (Taiwan, China) en de IT-dienstverlener CDW aan, met een losgeldbedrag dat de LockBit-groep van bedrijven eiste, dat opliep tot 70 tot 80 miljoen dollar.

Om instanties, organisaties en bedrijven in Vietnam beter inzicht te geven in het gevaar en hoe ze de risico's van ransomware-aanvallen in het algemeen en aanvallen door de LockBit-groep kunnen voorkomen en minimaliseren, heeft het National Cyber ​​​​Security Monitoring Center (NCSC) onder de afdeling Informatiebeveiliging (Ministerie van Informatie en Communicatie) zojuist informatiebronnen op cyberspace gebundeld en het 'Analyserapport over ransomware LockBit 3.0' gepubliceerd.

De gevaarlijkste ransomware-groep ter wereld

Het nieuwe rapport van het NCSC richt zich op vier hoofdonderwerpen, namelijk: Informatie over de LockBit-ransomware-aanvalsgroep; Actieve LockBit-clusters; Lijst met geregistreerde indicatoren van cyberaanvallen met betrekking tot LockBit 3.0; Hoe u de risico's van ransomware-aanvallen kunt voorkomen en minimaliseren.

Het NCSC-rapport noemt LockBit een van de gevaarlijkste ransomwaregroepen ter wereld en stelt ook dat LockBit sinds zijn eerste verschijning in 2019 talloze aanvallen heeft uitgevoerd op bedrijven en organisaties in diverse sectoren. De groep opereert volgens een 'Ransomware-as-a-Service'-model (RaaS), waardoor kwaadwillenden ransomware kunnen inzetten en de winst kunnen delen met de ontwikkelaars van de dienst.

Opvallend is dat in september 2022 de broncode van LockBit 3.0, inclusief enkele namen die gebruikt zouden kunnen worden om deze ransomware te ontwikkelen, werd gelekt door iemand genaamd 'ali_qushji' op het X-platform (voorheen Twitter). Door dit lek konden experts de LockBit 3.0-ransomware verder analyseren, maar sindsdien hebben kwaadwillenden een golf aan nieuwe ransomwarevarianten gecreëerd op basis van de broncode van LockBit 3.0.

Naast een analyse van de aanvalsmethoden van actieve LockBit-ransomwareclusters zoals TronBit, CriptomanGizmo of Tina Turnet, biedt het NCSC-rapport eenheden ook een lijst met geregistreerde indicatoren van cyberaanvallen met betrekking tot LockBit 3.0. "We zullen de informatie over IOC-indicatoren op de pagina alert.khonggianmang.vn van het nationale cyberspaceportaal continu bijwerken", aldus een NCSC-expert.

Een bijzonder belangrijk onderdeel dat in het 'LockBit 3.0 Ransomware Analysis Report' wordt genoemd, is de inhoud die instanties, organisaties en bedrijven helpt bij het voorkomen en minimaliseren van de risico's van ransomware-aanvallen. Belangrijke opmerkingen ter ondersteuning van eenheden in Vietnam bij het voorkomen en reageren op ransomware-aanvallen zijn door het Department of Information Security genoemd in het 'Handboek over maatregelen om de risico's van ransomware-aanvallen te voorkomen en te minimaliseren', dat op 6 april werd gepubliceerd, en worden nog steeds aanbevolen voor implementatie door NCSC-experts.

Volgens experts beginnen ransomware-aanvallen tegenwoordig vaak met een zwakke plek in de beveiliging van een instantie of organisatie. Aanvallers dringen het systeem binnen, behouden hun aanwezigheid, breiden de reikwijdte van de inbraak uit, controleren de IT-infrastructuur van de organisatie en leggen het systeem plat, met als doel echte slachtoffers te dwingen losgeld te betalen als ze versleutelde gegevens willen terugkrijgen.

Een vertegenwoordiger van het Department of Information Security deelde dit met verslaggevers van VietNamNet toen de aanval op het VNDIRECT-systeem 5 dagen geleden plaatsvond: vanuit het perspectief van de eenheid die betrokken is bij de coördinatie van de ondersteuning bij het reageren op incidenten, zei hij: Dit incident is een belangrijke les om het bewustzijn over netwerkveiligheid en beveiliging van organisaties en bedrijven in Vietnam te vergroten.

Daarom moeten instanties, organisaties en bedrijven, met name zij die actief zijn in belangrijke sectoren zoals financiën, bankieren, effecten, energie, telecommunicatie, enz., dringend en proactief de bestaande beveiligingssystemen en het professionele personeel evalueren en versterken. Tegelijkertijd moeten ze plannen voor incidentrespons ontwikkelen.

"Organisaties moeten zich strikt houden aan de regelgeving, eisen en richtlijnen op het gebied van informatiebeveiliging en netwerkbeveiliging. Het is de verantwoordelijkheid van elke organisatie en onderneming om zichzelf en hun klanten te beschermen tegen mogelijke cyberaanvallen", benadrukte een vertegenwoordiger van de afdeling Informatiebeveiliging.

Waarom kan het PVOIL-systeem snel herstellen na een ransomware-aanval?

Naast de niet al te grote systeemgrootte is het voor PVOIL belangrijk om snel een ransomware-aanval te kunnen uitvoeren en de werking binnen enkele dagen te kunnen herstellen dankzij back-upgegevens.

Het creëren van een beveiligingscultuur om de verdediging tegen ransomware-aanvallen te versterken

Volgens CDNetworks Vietnam kunnen bedrijven hun verdediging tegen cyberaanvallen, waaronder ransomware-aanvallen, versterken door te investeren in de opleiding van hun werknemers, een beveiligingscultuur te creëren en de samenwerking tussen werknemers en het beveiligingsteam te bevorderen.

Het betalen van losgeld zal hackers aanmoedigen om hun ransomware-aanvallen uit te breiden

Deskundigen zijn het erover eens dat organisaties die door ransomware worden aangevallen, geen losgeld aan hackers moeten betalen. Dit moedigt hackers aan om andere doelwitten aan te vallen of andere hackersgroepen aan te moedigen hun systeem te blijven aanvallen.