«Path»-hackere trenger inn i systemet for å angripe datakryptering

Utvider «marerittet» med skadelig programvare for datakryptering

Cyberangrepet på VNDIRECT-systemet, et selskap blant de tre største på det vietnamesiske aksjemarkedet, som fant sted morgenen 24. mars, er nå i hovedsak løst. Dataene er dekodet, og oppslagssystemet «Min konto» er tilbake i drift.

VNDIRECT rapporterte at hendelsen 24. mars ble utført av en profesjonell angrepsgruppe, noe som førte til at alle bedriftsdata ble kryptert. Datakryptering med skadelig programvare – ransomware har alltid vært et mareritt for bedrifter og organisasjoner over hele verden de siste årene, på grunn av de alvorlige konsekvensene det kan forårsake. Eksperter sammenligner også ransomware med et «mareritt» og et «spøkelse» i cyberspace.

I følge veikartet som VNDIRECT har annonsert til kunder og partnere, vil driftsenheten fortsette å gradvis gjenåpne systemer, produkter og andre verktøy. Denne enheten planlegger å sjekke flyten med børsene 28. mars.

Analysen fra informasjonssikkerhetseksperter viser imidlertid at de harde dagene til VNDIRECT-teknologiteamet og ekspertene som skanner etter sårbarheter og løser problemet grundig, fortsatt er lange. Løsepengevirus er ikke en ny form for cyberangrep, men det er svært komplisert og krever mye tid å rydde opp i data, gjenopprette systemet fullstendig og få tilbake normal drift.

«For å fikse et ransomware-angrep fullstendig, må driftsenheten noen ganger endre systemarkitekturen, spesielt sikkerhetskopieringssystemet. Derfor, med hendelsen VNDIRECT står overfor, tror vi det vil ta lengre tid, til og med måneder, før systemet gjenoppretter seg helt», sa Vu Ngoc Son, teknisk direktør i NCS.

Nguyen Minh Hai, teknisk direktør i Fortinet Vietnam, sa at tiden som kreves for å gjenopprette systemet etter et ransomware-angrep kan variere mye, fra noen få timer til flere uker for fullstendig gjenoppretting, avhengig av alvorlighetsgraden av angrepet, evnen til å forberede seg på forhånd og effektiviteten av responsplanen. Dette kan ta alt fra noen få timer til flere uker for fullstendig gjenoppretting, spesielt i tilfeller der en stor mengde data må gjenopprettes.

«En del av denne gjenopprettingsprosessen inkluderer å sørge for at skadelig programvare for datakryptering er fullstendig fjernet fra nettverket, og at det ikke er etterlatt bakdører som kan gi angripere tilgang igjen», sa Nguyen Minh Hai.

Eksperter kommenterte også at cyberangrepet på VNDIRECT, i tillegg til å være en «vekker» for enhetene som administrerer og driver viktige informasjonssystemer i Vietnam, nok en gang viste farenivået for ransomware.

For mer enn seks år siden forårsaket WannaCry og dens varianter av skadelig programvare for datakryptering mange bedrifter og organisasjoner i «slitet» da de raskt spredte seg til mer enn 300 000 datamaskiner i nesten 100 land og territorier rundt om i verden , inkludert Vietnam.

De siste årene har bedrifter alltid vært bekymret for ransomware-angrep. I fjor registrerte Vietnams cyberspace mange ransomware-angrep med alvorlige konsekvenser; der det var tilfeller der hackere ikke bare krypterte data for å kreve løsepenger, men også solgte dataene til tredjeparter for å maksimere mengden innsamlet penger. Ifølge NCS-statistikk ble opptil 83 000 datamaskiner og servere i Vietnam i 2023 registrert som angrep av ransomware.

Vanlige «veier» for å trenge inn i systemet

VNDIRECTs teknologiteam samarbeider med informasjonssikkerhetseksperter for å distribuere løsninger for å gjenopprette systemet fullstendig, samtidig som systemsikkerheten sikres. Årsaken til hendelsen og «banen» hackeren brukte for å trenge inn i systemet er fortsatt under etterforskning.

Ifølge Ngo Tuan Anh, administrerende direktør i SCS Smart Network Security Company, velger hackere ofte å trenge inn i serveren som inneholder viktige data og kryptere dataene for å angripe datakryptering. Det finnes to måter hackere ofte bruker for å trenge inn i systemet, enten direkte gjennom sårbarheter og svakheter i serversystemet, eller ved å "gå rundt" administratorens datamaskin og derfra ta kontroll over systemet.

I en samtale med VietNamNet påpekte Vu The Hai, leder for informasjonssikkerhetsovervåkingsavdelingen i VSEC Company, også noen muligheter hackere har til å infiltrere og installere skadelig programvare i systemet: Utnytte eksisterende sårbarheter i systemet for å ta kontroll og installere skadelig programvare; sende e-poster med vedlagte filer som inneholder skadelig programvare for å lure brukere i det åpne systemet, aktivere skadelig programvare; logge inn i systemet fra lekkede passord eller svake passord fra systembrukere.

Ekspert Vu Ngoc Son analyserte at hackere ved ransomware-angrep ofte kommer seg inn i systemet på en rekke måter, som for eksempel passordgjenkjenning og utnyttelse av systemsårbarheter, hovedsakelig nulldagssårbarheter (sårbarheter som produsenten ennå ikke har oppdatert – PV).

«Finansselskaper må vanligvis oppfylle regulatoriske standarder, så muligheten for å oppdage passord er nesten umulig. Den mest sannsynlige muligheten er et angrep gjennom en nulldagssårbarhet. Følgelig sender hackere eksternt feilfremkallende datasegmenter som fører til at programvaren havner i en ukontrollert tilstand når den behandles.»

Deretter kjører hackeren ekstern kodekjøring og tar kontroll over tjenesteserveren. Fra denne serveren fortsetter hackeren å samle inn informasjon, bruker de innhentede administratorkontoene til å angripe andre servere i nettverket, og kjører til slutt datakrypteringsverktøy for utpressing,» analyserte ekspert Vu Ngoc Son.

Leksjon 2 – Eksperter viser hvordan man skal reagere på ransomware-angrep

15. april er fristen for verdipapirselskaper til å fullføre gjennomgangen og vurderingen av informasjonssikkerhet og iverksette tiltak for å overvinne risikoer og svakheter i systemene, inkludert systemet som betjener nettbaserte verdipapirtransaksjoner.