Analyserapport for LockBit 3.0-ransomware utgitt

I løpet av de tre ukene fra 24. mars til den første uken i april i år registrerte Vietnams cyberspace påfølgende målrettede angrep i form av løsepengevirus mot store vietnamesiske bedrifter som opererer innen viktige felt som finans, verdipapirer, energi, telekommunikasjon osv. Disse angrepene førte til at systemene til bedriftene ble suspendert i en periode, noe som forårsaket betydelig økonomisk og omdømmemessig skade for enhetene hvis systemer var mål for nettkriminelle grupper.

Under prosessen med å analysere og undersøke årsakene og gruppene av personer som nylig har angrepet informasjonssystemene til vietnamesiske bedrifter, fant myndighetene ut at disse hendelsene var «produkter» av mange forskjellige angrepsgrupper som LockBit, BlackCat, Mallox... Spesielt med ransomware-angrepet på VNDIRECT-systemet klokken 10.00 den 24. mars, som krypterte alle dataene til bedrifter blant de tre største på det vietnamesiske aksjemarkedet, identifiserte myndighetene LockBit-gruppen med LockBit 3.0-skadevaren som stående bak denne hendelsen.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Det nasjonale senteret for cybersikkerhet, avdeling A05 ( Ministeriet for offentlig sikkerhet ) bekreftet at angrepet på verdipapirsystemet VNDIRECT i mars 2024 ble utført av LockBit 3.0.

LockBit-gruppen har lansert mange ransomware-angrep på verdensbasis rettet mot store bedrifter og organisasjoner. For eksempel angrep denne beryktede ransomware-gruppen Semiconductor Manufacturing Company TSMC (Taiwan, Kina) og Information Technology Products and Services Company CDW i henholdsvis juni og oktober 2023, med en mengde data som Lockbit-gruppen krevde at bedrifter skulle betale, på opptil 70–80 millioner USD.

Med ønsket om å hjelpe etater, organisasjoner og bedrifter i Vietnam med å bedre forstå farenivået og hvordan man kan forebygge og minimere risikoen fra ransomware-angrep generelt, samt angrep fra LockBit-gruppen, har National Cyber ​​Security Monitoring Center - NCSC under Department of Information Security (Ministry of Information and Communications) nettopp syntetisert informasjonskilder om cyberspace og gitt ut «Analyserapport om ransomware LockBit 3.0».

Verdens farligste ransomware-gruppe

Den nye rapporten fra NCSC fokuserer på fire hovedinnholdstyper, inkludert: Informasjon om LockBit ransomware-angrepsgruppen; Aktive LockBit-klynger; Liste over registrerte indikatorer for cyberangrep relatert til LockBit 3.0; Hvordan forebygge og minimere risikoen fra ransomware-angrep.

NCSC-rapporten identifiserte LockBit som en av de farligste ransomware-gruppene i verden, og sa også at LockBit siden sin første opptreden i 2019 har utført en rekke angrep rettet mot bedrifter og organisasjoner på tvers av ulike sektorer. Gruppen opererer under en «Ransomware-as-a-Service (RaaS)»-modell, som lar trusselaktører distribuere ransomware og dele profitten med de som står bak tjenesten.

ransomware lockbit.jpg
Ifølge eksperter er LockBit en av de farligste ransomware-gruppene i verden. Illustrasjon: Bkav

Det er verdt å merke seg at kildekoden til LockBit 3.0, inkludert noen av navnene som kunne brukes til å utvikle denne ransomware-virussen, ble lekket av en person ved navn «ali_qushji» på X-plattformen (tidligere Twitter) i september 2022. Lekkasjen tillot eksperter å analysere LockBit 3.0-ransomware-eksemplet ytterligere, men siden den gang har trusselaktører skapt en bølge av nye ransomware-varianter basert på kildekoden til LockBit 3.0.

I tillegg til å analysere angrepsmetodene til aktive LockBit-ransomwareklynger som TronBit, CriptomanGizmo eller Tina Turnet, gir NCSC-rapporten også enhetene en liste over indikatorer for cyberangrep relatert til LockBit 3.0 som er registrert. «Vi vil kontinuerlig oppdatere IOC-indikatorinformasjon på alert.khonggianmang.vn-siden på den nasjonale cyberspace-portalen», sa en NCSC-ekspert.

En spesielt viktig del som nevnes i «LockBit 3.0 Ransomware Analysis Report» er innholdet som veileder etater, organisasjoner og bedrifter om hvordan de kan forebygge og minimere risikoen fra ransomware-angrep. Viktige notater for å støtte enheter i Vietnam i å forebygge og reagere på ransomware-angrep har blitt nevnt av Department of Information Security i «Handbook on some measures to prevent and minime risks from ransomware attacks» som ble utgitt 6. april, og fortsetter å bli anbefalt for implementering av NCSC-eksperter.

W-anti-ransomware-angrep-1.jpg
Kontinuerlig overvåking for å oppdage tidlige systeminnbrudd er ett av ni tiltak som informasjonssikkerhetsavdelingen anbefaler at organisasjoner implementerer for å forhindre ransomware-angrep. Illustrasjonsfoto: Khanh Linh

Ifølge eksperter starter ofte ransomware-angrep i dag fra en sikkerhetssvakhet hos et byrå eller en organisasjon. Angripere trenger inn i systemet, opprettholder tilstedeværelse, utvider omfanget av inntrenging, kontrollerer organisasjonens IT-infrastruktur og lammer systemet, med mål om å tvinge reelle offerorganisasjoner til å betale løsepenger hvis de vil gjenopprette krypterte data.

En representant fra avdelingen for informasjonssikkerhet delte en opplevelse med VietNamNet -reportere da angrepet på VNDIRECT-systemet skjedde for fem dager siden, sett fra perspektivet til enheten som deltok i koordineringen av støtteaktiviteter for hendelsesrespons: Denne hendelsen er en viktig lærdom for å øke bevisstheten om nettverkssikkerhet og trygghet for organisasjoner og bedrifter i Vietnam.

Derfor må etater, organisasjoner og bedrifter, spesielt de som opererer innen viktige felt som finans, bank, verdipapirer, energi, telekommunikasjon osv., raskt og proaktivt gjennomgå og styrke både eksisterende sikkerhetssystemer og profesjonelt personell, og samtidig utvikle hendelsesplaner.

«Organisasjoner må strengt overholde forskriftene, kravene og retningslinjene for informasjonssikkerhet og nettverkssikkerhet som er utstedt. Dette er hver organisasjons og bedrifts ansvar å beskytte seg selv og sine kunder mot potensielle cyberangrep», understreket en representant for informasjonssikkerhetsavdelingen.

LockBit-ransomware var først kjent som ABCD etter den krypterte filtypen, og noen måneder senere dukket det opp en variant av ABCD med sitt nåværende navn, Lockbit. Et år senere ga gruppen ut en oppgradert versjon, LockBit 2.0 (også kjent som LockBit Red), som inkluderte en annen integrert skadevare kalt StealBit med det formål å stjele sensitive data. LockBit 3.0, også kjent som LockBit Black, er den nyeste versjonen, utgitt i 2022 med nye funksjoner og forbedrede unnvikelsesteknikker.
Hvorfor kan PVOIL-systemet gjenopprette seg raskt etter et ransomware-angrep?

Hvorfor kan PVOIL-systemet gjenopprette seg raskt etter et ransomware-angrep?

I tillegg til den ikke fullt så store systemstørrelsen, er sikkerhetskopiering av data en viktig faktor for at PVOIL raskt skal kunne fikse ransomware-angrepet og gjenopprette driften etter bare noen få dager.
Å danne en sikkerhetskultur for å styrke forsvaret mot ransomware-angrep

Å danne en sikkerhetskultur for å styrke forsvaret mot ransomware-angrep

Ifølge CDNetworks Vietnam kan bedrifter styrke sitt forsvar mot cyberangrep, inkludert ransomware-angrep, ved å investere i opplæring av ansatte, danne en sikkerhetskultur og fremme samarbeid mellom ansatte og sikkerhetsteamet.
Å betale løsepenger vil oppmuntre hackere til å øke angrepene med løsepenger

Å betale løsepenger vil oppmuntre hackere til å øke angrepene med løsepenger

Eksperter er enige om at organisasjoner som blir angrepet av ransomware ikke bør betale løsepenger til hackere. Dette vil oppmuntre hackere til å angripe andre mål eller oppmuntre andre hackergrupper til å fortsette å angripe systemet deres.