Utgivelse av analyserapport for LockBit 3.0 ransomware.

Mellom 24. mars og den første uken i april i år opplevde Vietnams cyberspace en rekke målrettede ransomware-angrep rettet mot store vietnamesiske bedrifter som opererer i kritiske sektorer som finans, verdipapirer, energi og telekommunikasjon. Disse angrepene forårsaket systemforstyrrelser i en periode, noe som resulterte i betydelige økonomiske tap og skade på omdømmet til de målrettede enhetene.

Gjennom prosessen med å analysere og undersøke årsakene og gruppene som nylig har angrepet informasjonssystemene til vietnamesiske bedrifter, har myndighetene funnet ut at disse hendelsene er "produkter" av ulike angrepsgrupper som LockBit, BlackCat, Mallox, osv. Spesielt angående ransomware-angrepet på VNDIRECTs system klokken 10.00 den 24. mars, som krypterte alle dataene til et selskap rangert blant de tre beste på det vietnamesiske aksjemarkedet, har myndighetene identifisert LockBit og dets LockBit 3.0-skadevare som gjerningsmennene.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Det nasjonale senteret for cybersikkerhet, avdeling A05 ( Ministeriet for offentlig sikkerhet ) har bekreftet at angrepet på verdipapirselskapet VNDIRECTs system i mars 2024 ble utført av LockBit 3.0.

Globalt har LockBit-gruppen lansert en rekke ransomware-angrep rettet mot store bedrifter og organisasjoner. For eksempel angrep denne beryktede ransomware-gruppen i juni og oktober 2023 halvlederprodusenten TSMC (Taiwan, Kina) og IT-produkt- og tjenesteselskapet CDW, og krevde løsepenger på opptil 70–80 millioner dollar fra disse bedriftene.

Med mål om å hjelpe etater, organisasjoner og bedrifter i Vietnam med å bedre forstå farenivået og hvordan man kan forebygge og redusere risikoen fra ransomware-angrep generelt, samt angrep fra LockBit-gruppen spesielt, har National Cybersecurity Monitoring Center – NCSC under Department of Information Security (Ministry of Information and Communications) samlet informasjon fra nettkilder og publisert «Analyserapport om LockBit 3.0 Ransomware».

Verdens farligste ransomware-gruppe.

Den nye rapporten fra NCSC fokuserer på fire hovedpunkter, inkludert: Informasjon om LockBit-ransomware-angrepsgruppen; Aktive LockBit-klynger; En liste over registrerte LockBit 3.0-relaterte cyberangrepsindikatorer; og Metoder for å forebygge og redusere risikoer fra ransomware-angrep.

NCSC-rapporten identifiserte LockBit som en av verdens ledende ransomware-grupper, og slo også fast at LockBit siden sin første opptreden i 2019 har utført en rekke angrep rettet mot bedrifter og organisasjoner på tvers av ulike sektorer. Gruppen opererer etter en «Ransomware-as-a-Service (RaaS)»-modell, som lar trusselaktører distribuere ransomware og dele profitten med de som står bak tjenesten.

ransomware lockbit.jpg
Ifølge eksperter er LockBit en av de farligste ransomware-gruppene i verden. (Illustrasjon: Bkav)

Det er verdt å merke seg at kildekoden til LockBit 3.0, inkludert flere navn som kunne brukes til å utvikle denne ransomware-viruset, ble lekket av en person ved navn «ali_qushji» på X-plattformen (tidligere Twitter) i september 2022. Denne lekkasjen tillot eksperter å analysere LockBit 3.0 ransomware nærmere, men siden den gang har trusselaktører skapt en bølge av nye ransomware-varianter basert på LockBit 3.0-kildekoden.

I tillegg til å analysere angrepsmetodene til aktive LockBit-ransomware-klynger som TronBit, CriptomanGizmo og Tina Turnet, gir NCSC-rapporten også relevante etater en liste over registrerte IOC-angrepsindikatorer (Intelligent Operational Crime) relatert til LockBit 3.0. «Vi vil kontinuerlig oppdatere IOC-indikatorene på alert.khonggianmang.vn-siden på den nasjonale cybersikkerhetsportalen», uttalte en NCSC-ekspert.

En spesielt viktig del av «LockBit 3.0 Ransomware Analysis Report» er veiledningen som gis til etater, organisasjoner og bedrifter om hvordan de kan forebygge og redusere risikoen fra ransomware-angrep. Viktige notater for å støtte vietnamesiske enheter i å forebygge og reagere på ransomware-angrep, som beskrevet av cybersikkerhetsavdelingen i «Håndboken om tiltak for å forhindre og redusere risikoer fra ransomware-angrep» utgitt 6. april, fortsetter å bli anbefalt for implementering av NCSC-eksperter.

W-phong-chong-tan-cong-ransomware-1.jpg
Kontinuerlig overvåking for å oppdage systeminnbrudd tidlig er ett av ni tiltak som Cybersecurity Agency anbefaler at organisasjoner implementerer for å forhindre ransomware-angrep. (Illustrasjon: Khanh Linh)

Ifølge eksperter stammer dagens ransomware-angrep ofte fra en sikkerhetssårbarhet i en organisasjon. Angripere infiltrerer systemet, opprettholder en tilstedeværelse, utvider rekkevidden sin, kontrollerer organisasjonens IT-infrastruktur og lammer systemet, med mål om å tvinge offerorganisasjoner til å betale løsepenger for å gjenopprette sine krypterte data.

I en samtale med VietNamNet -reportere fem dager etter angrepet på VNDIRECT-systemet uttalte en representant fra informasjonssikkerhetsavdelingen, fra perspektivet til enheten som koordinerer hendelsesresponsen: Denne hendelsen er en viktig lærdom for å øke bevisstheten om cybersikkerhet blant organisasjoner og bedrifter i Vietnam.

Derfor må etater, organisasjoner og bedrifter, spesielt de som opererer i kritiske sektorer som finans, bank, verdipapirer, energi og telekommunikasjon, raskt og proaktivt gjennomgå og styrke både sine eksisterende sikkerhetssystemer og personell, samtidig som de utvikler hendelsesplaner.

«Organisasjoner må strengt overholde forskriftene, kravene og retningslinjene for informasjonssikkerhet og cybersikkerhet som er utstedt. Dette er hver organisasjons og bedrifts ansvar å beskytte seg selv og sine kunder mot potensielle cyberangrepsrisikoer», understreket en representant fra informasjonssikkerhetsavdelingen.

LockBit-ransomware var først kjent som ABCD, oppkalt etter den krypterte filtypen, og etter noen måneder dukket det opp en variant av ABCD under sitt nåværende navn, Lockbit. Et år senere ga gruppen ut en oppgradert versjon, LockBit 2.0 (også kjent som LockBit Red), som inkluderte en annen integrert skadevare kalt StealBit, som hadde som mål å stjele sensitive data. LockBit 3.0, eller LockBit Black, er den nyeste versjonen, utgitt i 2022, med nye funksjoner og avanserte sikkerhetsomgåelsesteknikker.
Hvorfor klarte PVOIL-systemet å gjenopprette seg så raskt etter et ransomware-angrep?

Hvorfor klarte PVOIL-systemet å gjenopprette seg så raskt etter et ransomware-angrep?

I tillegg til den relativt lille systemstørrelsen, var sikkerhetskopidataene en avgjørende faktor som gjorde det mulig for PVOIL å raskt løse ransomware-angrepet og gjenopprette driften i løpet av bare noen få dager.
Utvikle en sikkerhetskultur for å forbedre forsvaret mot ransomware-angrep.

Utvikle en sikkerhetskultur for å forbedre forsvaret mot ransomware-angrep.

Ifølge CDNetworks Vietnam kan bedrifter forbedre sitt forsvar mot cyberangrep, inkludert ransomware-angrep, ved å investere i opplæring av ansatte, fremme en sikkerhetskultur og fremme samarbeid mellom ansatte og sikkerhetsteam.
Å betale løsepenger for data vil oppmuntre hackere til å øke angrepene med løsepengevirus.

Å betale løsepenger for data vil oppmuntre hackere til å øke angrepene med løsepengevirus.

Eksperter er enige om at organisasjoner som er rammet av ransomware-angrep ikke bør betale løsepenger til hackerne. Dette ville oppmuntre hackerne til å angripe andre mål eller oppmuntre andre hackergrupper til å angripe organisasjonens systemer igjen.