Hakerzy „ścieżkowi” włamują się do systemu, aby zaatakować szyfrowanie danych

Wydłużanie „koszmaru” złośliwego oprogramowania szyfrującego dane

Cyberatak na system VNDIRECT, firmę z czołowej trójki wietnamskiego rynku akcji, który miał miejsce rano 24 marca, został już praktycznie rozwiązany. Dane zostały odkodowane, a system wyszukiwania Moje Konto znów działa.

VNDIRECT poinformował, że incydent z 24 marca został przeprowadzony przez profesjonalną grupę atakującą, która doprowadziła do zaszyfrowania wszystkich danych firmy. Ataki złośliwego oprogramowania szyfrującego dane – ransomware – od zawsze były w ostatnich latach zmorą firm i organizacji na całym świecie ze względu na poważne konsekwencje, jakie mogą powodować. Eksperci porównują również ransomware do „koszmaru” i „ducha” w cyberprzestrzeni.

Zgodnie z planem działania, który VNDIRECT ogłosił klientom i partnerom, jednostka operacyjna będzie kontynuować stopniowe otwieranie systemów, produktów i innych mediów. Jednostka planuje sprawdzić przepływ informacji z giełdami papierów wartościowych 28 marca.

Jednak z analizy ekspertów ds. bezpieczeństwa informacji wynika, że ​​zespół technologiczny i eksperci VNDIRECT wciąż mają przed sobą trudne dni skanowania luk w zabezpieczeniach i dokładnego rozwiązywania problemu. Ransomware nie jest nową formą cyberataku, ale jest bardzo skomplikowany i wymaga dużo czasu na oczyszczenie danych, pełne przywrócenie systemu i przywrócenie jego normalnego działania.

„Aby całkowicie naprawić atak ransomware, jednostka operacyjna musi czasami zmienić architekturę systemu, zwłaszcza system kopii zapasowych. Dlatego w obliczu incydentu, z którym zmaga się VNDIRECT, uważamy, że pełne przywrócenie systemu zajmie więcej czasu, nawet miesiące” – powiedział dyrektor techniczny NCS, Vu Ngoc Son.

Pan Nguyen Minh Hai, dyrektor techniczny Fortinet Vietnam, powiedział, że w zależności od powagi ataku, możliwości wcześniejszego przygotowania i skuteczności planu reagowania, czas potrzebny na odzyskanie systemu po ataku ransomware może się znacznie różnić – od kilku godzin do kilku tygodni w przypadku pełnego odzyskania, szczególnie w przypadkach, gdy konieczne jest odzyskanie dużej ilości danych.

„Częścią tego procesu odzyskiwania jest upewnienie się, że złośliwe oprogramowanie szyfrujące dane zostało całkowicie usunięte z sieci i że nie pozostały żadne tylne furtki, które mogłyby umożliwić atakującym odzyskanie dostępu” – powiedział Nguyen Minh Hai.

Eksperci zauważyli również, że cyberatak na VNDIRECT, oprócz tego, że był „sygnałem ostrzegawczym” dla jednostek zarządzających i obsługujących ważne systemy informatyczne w Wietnamie, po raz kolejny pokazał również, jak niebezpieczny jest ransomware.

Ponad 6 lat temu WannaCry i jego warianty złośliwego oprogramowania szyfrującego dane sprawiły, że wiele firm i organizacji „zmagało się”, gdy szybko rozprzestrzeniły się na ponad 300 000 komputerów w niemal 100 krajach i terytoriach na całym świecie , w tym w Wietnamie.

W ostatnich latach firmy stale obawiały się ataków ransomware. W ubiegłym roku wietnamska cyberprzestrzeń odnotowała wiele ataków ransomware o poważnych konsekwencjach. W ich trakcie hakerzy nie tylko szyfrowali dane, żądając okupu, ale także sprzedawali je stronom trzecim, aby zmaksymalizować kwotę okupu. Według statystyk NCS, w 2023 roku aż 83 000 komputerów i serwerów w Wietnamie zostało zaatakowanych przez ransomware.

Typowe „ścieżki” penetracji systemu

Zespół technologiczny VNDIRECT współpracuje z ekspertami ds. bezpieczeństwa informacji, aby wdrożyć rozwiązania umożliwiające pełne przywrócenie systemu i zapewnienie jego bezpieczeństwa. Przyczyna incydentu i „ścieżka”, którą haker wykorzystał do włamania się do systemu, są nadal badane.

Według pana Ngo Tuan Anha, prezesa firmy SCS Smart Network Security, hakerzy często decydują się na penetrację serwera zawierającego ważne dane i ich zaszyfrowanie, aby zaatakować szyfrowanie danych. Istnieją dwa sposoby, których hakerzy często używają, aby przeniknąć do systemu jednostek: bezpośrednio poprzez luki i słabości systemu serwerowego; lub „omijają” komputer administratora i stamtąd przejmują kontrolę nad systemem.

W rozmowie z VietNamNet , pan Vu The Hai, szef działu monitorowania bezpieczeństwa informacji w firmie VSEC, wskazał również na pewne możliwości włamania się hakerów i zainstalowania złośliwego oprogramowania w systemie: wykorzystywanie istniejących luk w zabezpieczeniach systemu w celu przejęcia kontroli i zainstalowania złośliwego oprogramowania; wysyłanie wiadomości e-mail z załączonymi plikami zawierającymi złośliwe oprogramowanie w celu oszukania użytkowników otwartego systemu i aktywowania złośliwego oprogramowania; logowanie się do systemu przy użyciu wykradzionych haseł lub słabych haseł użytkowników systemu.

Ekspert Vu Ngoc Son przeanalizował, że w przypadku ataków typu ransomware hakerzy często dostają się do systemu na wiele sposobów, takich jak sprawdzanie haseł i wykorzystywanie luk w zabezpieczeniach systemu, głównie luk typu zero-day (luki, których producent jeszcze nie załatał - PV).

Firmy finansowe zazwyczaj muszą spełniać normy regulacyjne, więc możliwość odkrycia hasła jest praktycznie niemożliwa. Najbardziej prawdopodobnym scenariuszem jest atak z wykorzystaniem luki zero-day. W związku z tym hakerzy zdalnie wysyłają segmenty danych powodujące błędy, które powodują, że oprogramowanie przechodzi w niekontrolowany stan podczas przetwarzania.

Następnie haker przeprowadza zdalne wykonanie kodu i przejmuje kontrolę nad serwerem usług. Z tego serwera haker kontynuuje gromadzenie informacji, wykorzystuje uzyskane konta administracyjne do ataków na inne serwery w sieci, a na koniec uruchamia narzędzia szyfrujące dane w celu wymuszenia okupu – analizuje ekspert Vu Ngoc Son.

Lekcja 2 – Eksperci pokazują, jak reagować na ataki ransomware

15 kwietnia to termin, w którym firmy papierów wartościowych mają obowiązek zakończyć przegląd i ocenę bezpieczeństwa informacji oraz wdrożyć środki mające na celu przezwyciężenie zagrożeń i słabości systemów, w tym systemu obsługującego internetowe transakcje papierami wartościowymi.