„Ścieżka”, którą hakerzy wykorzystują do infiltracji systemów i przeprowadzania ataków szyfrujących dane.

Przedłużanie „koszmaru” złośliwego oprogramowania szyfrującego dane.

Cyberatak na system VNDIRECT, firmy plasującej się w pierwszej trójce na wietnamskim rynku akcji, który miał miejsce rano 24 marca, został w dużej mierze rozwiązany. Dane zostały odszyfrowane, a system wyszukiwania Moje Konto jest ponownie dostępny.

VNDIRECT poinformował, że incydent z 24 marca został przeprowadzony przez profesjonalną grupę atakującą, w wyniku czego wszystkie dane firmy zostały zaszyfrowane. Ataki ransomware stały się w ostatnich latach nieustającym koszmarem dla firm i organizacji na całym świecie ze względu na poważne konsekwencje, jakie mogą powodować. Eksperci porównują nawet ransomware do „koszmaru” lub „ducha” w cyberprzestrzeni.

Zgodnie z planem działania ogłoszonym klientom i partnerom przez VNDIRECT, systemy, produkty i inne usługi będą stopniowo wznawiane. Firma planuje przetestować przepływ ruchu z giełdami papierów wartościowych 28 marca.

Jednak z analizy ekspertów ds. bezpieczeństwa informacji jasno wynika, że ​​zespół technologiczny VNDIRECT i eksperci ds. skanowania luk w zabezpieczeniach mają przed sobą żmudną drogę do całkowitego rozwiązania tego incydentu. Ransomware nie jest nową formą cyberataku, ale jest bardzo złożony i wymaga dużo czasu na oczyszczenie danych, pełne przywrócenie systemu i przywrócenie normalnego działania.

„Aby całkowicie rozwiązać problem ataku ransomware, jednostka operacyjna musi czasami nawet zmienić architekturę systemu, zwłaszcza system kopii zapasowych. Dlatego, biorąc pod uwagę incydent, z którym zmaga się obecnie VNDIRECT, uważamy, że pełne przywrócenie systemu zajmie więcej czasu, nawet miesiące” – powiedział Vu Ngoc Son, dyrektor techniczny firmy NCS.

Według pana Nguyen Minh Hai, dyrektora technicznego Fortinet Vietnam, w zależności od powagi ataku, poziomu przygotowania i skuteczności planu reagowania, czas potrzebny na przywrócenie systemu po ataku ransomware może się znacznie różnić – od kilku godzin do kilku tygodni w przypadku pełnego odzyskania, szczególnie w przypadkach wymagających odzyskania dużej ilości danych.

„Częścią tego procesu odzyskiwania jest upewnienie się, że złośliwe oprogramowanie szyfrujące dane zostało całkowicie usunięte z sieci i że nie pozostały żadne tylne furtki, które mogłyby umożliwić atakującym odzyskanie dostępu” – poinformował pan Nguyen Minh Hai.

Eksperci zauważyli również, że cyberatak na VNDIRECT nie tylko był „sygnałem ostrzegawczym” dla podmiotów zarządzających i obsługujących krytyczne systemy informatyczne w Wietnamie, ale także po raz kolejny pokazał, jak niebezpieczne jest oprogramowanie ransomware.

Ponad sześć lat temu WannaCry i jego warianty spowodowały poważne zakłócenia w działalności wielu firm i organizacji, ponieważ szybko rozprzestrzeniły się na ponad 300 000 komputerów w niemal 100 krajach i terytoriach na całym świecie , w tym w Wietnamie.

W ostatnich latach firmy nieustannie obawiają się ataków ransomware. W ubiegłym roku wietnamska cyberprzestrzeń odnotowała wiele ataków ransomware o poważnych konsekwencjach; w niektórych przypadkach hakerzy nie tylko szyfrowali dane, aby żądać okupu, ale także sprzedawali je stronom trzecim, aby zmaksymalizować zyski. Według statystyk NCS, w 2023 roku aż 83 000 komputerów i serwerów w Wietnamie padło ofiarą ataków ransomware.

Typowe „ścieżki” infiltracji systemów.

Zespół technologiczny VNDIRECT, wraz z ekspertami ds. bezpieczeństwa informacji, wdraża rozwiązania mające na celu pełne przywrócenie i zabezpieczenie systemu. Przyczyna incydentu i „ścieżka”, którą hakerzy wykorzystali do infiltracji systemu, są nadal badane.

Według pana Ngo Tuan Anha, prezesa firmy SCS Smart Cybersecurity, hakerzy zazwyczaj decydują się na infiltrację serwerów zawierających ważne dane i ich zaszyfrowanie, aby przeprowadzić ataki szyfrujące. Istnieją dwie popularne metody, których hakerzy używają do penetracji systemów organizacji: bezpośrednio poprzez luki w zabezpieczeniach lub słabości systemu serwerowego; lub „omijając” komputer administratora i tym samym uzyskując kontrolę nad systemem.

W rozmowie z VietNamNet , pan Vu The Hai, szef działu monitorowania bezpieczeństwa informacji w firmie VSEC, wskazał również na kilka możliwości, dzięki którym hakerzy mogą włamać się do systemu i zainstalować w nim złośliwe oprogramowanie: wykorzystywanie istniejących luk w zabezpieczeniach systemu w celu przejęcia kontroli i zainstalowania złośliwego oprogramowania; wysyłanie wiadomości e-mail z załączonymi plikami zawierającymi złośliwe oprogramowanie, aby nakłonić użytkowników do otwarcia i aktywacji złośliwego oprogramowania; logowanie się do systemu przy użyciu wykradzionych lub słabych haseł użytkowników systemu.

Ekspert Vu Ngoc Son przeanalizował, że w przypadku ataków typu ransomware hakerzy zazwyczaj uzyskują dostęp do systemów na kilka sposobów, takich jak łamanie haseł, wykorzystywanie luk w zabezpieczeniach systemu, głównie luk typu zero-day (luki, dla których producent nie wydał jeszcze poprawek - PV).

Firmy finansowe zazwyczaj muszą spełniać normy regulacyjne, więc złamanie hasła jest praktycznie niemożliwe. Bardziej prawdopodobnym scenariuszem jest atak z wykorzystaniem luki zero-day. W tego typu atakach hakerzy zdalnie wysyłają uszkodzone fragmenty danych, powodując awarię oprogramowania podczas przetwarzania.

Następnie haker uruchamia zdalny kod wykonywalny i przejmuje kontrolę nad serwerem usług. Z tego serwera haker zbiera dalsze informacje, wykorzystuje zdobyte konta administratorów do atakowania innych serwerów w sieci, a na koniec uruchamia narzędzia szyfrujące dane w celu wyłudzenia pieniędzy” – analizuje ekspert Vu Ngoc Son.

Lekcja 2 — Eksperci pokazują, jak reagować na ataki ransomware.

Ocena bezpieczeństwa systemu obrotu papierami wartościowymi online do 15 kwietnia: 15 kwietnia to termin, w którym firmy papierów wartościowych mają obowiązek zakończyć przegląd i ocenę bezpieczeństwa informacji oraz wdrożyć środki mające na celu wyeliminowanie zagrożeń i słabości w swoich systemach, w tym w systemach obsługujących obrót papierami wartościowymi online.