«Stien» hackere bruker til å infiltrere systemer og iverksette datakrypteringsangrep.

Utvider «marerittet» med datakrypterende skadelig programvare.

Cyberangrepet på VNDIRECTs system, et selskap rangert blant de tre største på det vietnamesiske aksjemarkedet, som fant sted morgenen 24. mars, er nå i stor grad løst. Dataene er dekryptert, og søkesystemet «Min konto» er tilbake på nett.

VNDIRECT har rapportert at hendelsen 24. mars ble utført av en profesjonell angrepsgruppe, noe som resulterte i kryptering av alle bedriftsdata. Løsepengevirusangrep har vært et konstant mareritt for bedrifter og organisasjoner over hele verden de siste årene på grunn av de alvorlige konsekvensene de kan forårsake. Eksperter sammenligner til og med løsepengevirus med et «mareritt» eller «spøkelse» i cyberspace.

I følge planen som VNDIRECT har annonsert til sine kunder og partnere, vil systemene, produktene og andre tjenester fortsette å bli gradvis gjenåpnet. Selskapet planlegger å sjekke trafikkflyten med børsene 28. mars.

Analysen til informasjonssikkerhetseksperter viser imidlertid at den vanskelige reisen for VNDIRECTs teknologiteam og eksperter på sårbarhetsskanning for å løse hendelsen grundig fortsatt er lang. Løsepengevirus er ikke en ny form for cyberangrep, men det er svært komplekst og krever mye tid for å rydde opp i data, gjenopprette systemet fullstendig og bringe normal drift tilbake til normalen.

«For å løse et ransomware-angrep fullstendig, må driftsenheten noen ganger til og med endre systemarkitekturen, spesielt sikkerhetskopieringssystemet. Derfor, med hendelsen VNDIRECT står overfor nå, tror vi det vil ta lengre tid, til og med måneder, før systemet gjenoppretter seg helt», sa Vu Ngoc Son, teknisk direktør i NCS Company.

Ifølge Nguyen Minh Hai, teknisk direktør i Fortinet Vietnam, kan tiden som kreves for å gjenopprette systemet etter et ransomware-angrep variere mye, avhengig av alvorlighetsgraden av angrepet, forberedelsesnivået og effektiviteten til responsplanen, fra noen få timer til flere uker for fullstendig gjenoppretting, spesielt i tilfeller som krever gjenoppretting av store mengder data.

«En del av denne gjenopprettingsprosessen inkluderer å sørge for at den datakrypterende skadelige programvaren er fullstendig fjernet fra nettverket, og at det ikke er noen bakdører igjen som kan gi angripere tilgang igjen», informerte Nguyen Minh Hai.

Eksperter bemerket også at cyberangrepet på VNDIRECT, i tillegg til å fungere som en «vekker» for de som administrerer og driver kritiske informasjonssystemer i Vietnam, nok en gang demonstrerte den farlige naturen til ransomware.

For mer enn seks år siden forårsaket WannaCry og variantene av dette betydelig forstyrrelse for mange bedrifter og organisasjoner, da de raskt spredte seg til over 300 000 datamaskiner i nesten 100 land og territorier over hele verden , inkludert Vietnam.

De siste årene har bedrifter stadig vært bekymret for ransomware-angrep. I fjor registrerte Vietnams cyberspace mange ransomware-angrep med alvorlige konsekvenser. I noen tilfeller krypterte hackere ikke bare data for å kreve løsepenger, men solgte også dataene til tredjeparter for å maksimere profitten sin. Ifølge NCS-statistikk ble det rapportert at opptil 83 000 datamaskiner og servere i Vietnam i 2023 ble angrepet av ransomware.

Vanlige «veier» for infiltrerende systemer.

VNDIRECTs teknologiteam, sammen med eksperter på informasjonssikkerhet, implementerer løsninger for å gjenopprette og sikre systemet fullstendig. Årsaken til hendelsen og «banen» hackerne brukte for å infiltrere systemet er fortsatt under etterforskning.

Ifølge Ngo Tuan Anh, administrerende direktør i SCS Smart Cybersecurity Company, velger hackere vanligvis å infiltrere servere som inneholder viktige data og kryptere dem for å utføre datakrypteringsangrep. Det finnes to vanlige metoder hackere bruker for å trenge inn i organisasjonssystemer: direkte gjennom sårbarheter eller svakheter i serversystemet; eller ved å "omgå" administratorens datamaskin og dermed få kontroll over systemet.

I en samtale med VietNamNet påpekte Vu The Hai, leder for informasjonssikkerhetsovervåkingsavdelingen hos VSEC Company, også flere muligheter for hackere til å infiltrere og installere skadelig programvare i systemer: Utnytte eksisterende sårbarheter i systemet for å få kontroll og installere skadelig programvare; sende e-poster med vedlagte filer som inneholder skadelig programvare for å lure brukere til å åpne og aktivere skadelig programvare; logge inn på systemet med lekkede eller svake passord fra systembrukere.

Ekspert Vu Ngoc Son analyserte at hackere ved ransomware-angrep vanligvis får tilgang til systemer gjennom flere metoder, som å knekke passord og utnytte systemsårbarheter, hovedsakelig nulldagssårbarheter (sårbarheter som produsenten ennå ikke har gitt ut oppdateringer for – PV).

«Finansselskaper må vanligvis oppfylle regulatoriske standarder, så det er nesten umulig å knekke passord. Et mer sannsynlig scenario er et angrep via en nulldagssårbarhet. I denne typen angrep sender hackere ødelagte databiter eksternt, noe som fører til at programvaren ikke fungerer som den skal under behandling.»

Deretter kjører hackeren ekstern kjørbar kode og tar kontroll over tjenesteserveren. Fra denne serveren samler hackeren inn ytterligere informasjon, bruker de ervervede administratorkontoene til å angripe andre servere i nettverket, og kjører til slutt datakrypteringsverktøy for å presse ut penger,» analyserte ekspert Vu Ngoc Son.

Leksjon 2 – Eksperter viser hvordan man skal reagere på ransomware-angrep.

Vurdering av systemsikkerhet for nettbasert verdipapirhandel innen 15. april: 15. april er fristen for verdipapirforetak til å fullføre gjennomgangen og vurderingen av informasjonssikkerhet og iverksette tiltak for å avhjelpe risikoer og svakheter i systemene sine, inkludert systemer som betjener nettbasert verdipapirhandel.