Opublikowano raport z analizy oprogramowania ransomware LockBit 3.0.

Między 24 marca a pierwszym tygodniem kwietnia tego roku wietnamska cyberprzestrzeń była świadkiem serii ukierunkowanych ataków ransomware wymierzonych w duże wietnamskie firmy działające w kluczowych sektorach, takich jak finanse, papiery wartościowe, energetyka i telekomunikacja. Ataki te spowodowały długotrwałe zakłócenia w systemach, skutkując znacznymi stratami ekonomicznymi i uszczerbkiem na reputacji zaatakowanych podmiotów.

Analizując i badając przyczyny oraz grupy, które ostatnio zaatakowały systemy informatyczne wietnamskich przedsiębiorstw, władze ustaliły, że incydenty te są „produktami” różnych grup atakujących, takich jak LockBit, BlackCat, Mallox itp. W szczególności, w odniesieniu do ataku ransomware na system VNDIRECT o godzinie 10:00 rano 24 marca, który zaszyfrował wszystkie dane firmy plasującej się w pierwszej trójce na wietnamskiej giełdzie, władze zidentyfikowały LockBit i jego złośliwe oprogramowanie LockBit 3.0 jako sprawców.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Narodowe Centrum Cyberbezpieczeństwa, Departament A05 ( Ministerstwo Bezpieczeństwa Publicznego ) potwierdziło, że atak na system firmy papierów wartościowych VNDIRECT w marcu 2024 r. został przeprowadzony przy użyciu LockBit 3.0.

Grupa LockBit przeprowadziła na całym świecie liczne ataki ransomware wymierzone w duże firmy i organizacje. Na przykład, w czerwcu i październiku 2023 roku, ta niesławna grupa ransomware zaatakowała producenta półprzewodników TSMC (Tajwan, Chiny) oraz firmę CDW, zajmującą się produktami i usługami IT, żądając od tych firm okupu w wysokości do 70-80 milionów dolarów.

Aby pomóc agencjom, organizacjom i przedsiębiorstwom w Wietnamie lepiej zrozumieć poziom zagrożenia oraz sposoby zapobiegania i ograniczania ryzyka związanego z atakami ransomware ogólnie, a także atakami grupy LockBit w szczególności, Narodowe Centrum Monitorowania Cyberbezpieczeństwa - NCSC działające w ramach Departamentu Bezpieczeństwa Informacyjnego (Ministerstwo Informacji i Łączności) zebrało informacje ze źródeł internetowych i opublikowało „Raport z analizy oprogramowania ransomware LockBit 3.0”.

Najniebezpieczniejsza grupa zajmująca się oprogramowaniem ransomware na świecie.

Nowy raport NCSC skupia się na czterech głównych kwestiach, w tym: informacjach o grupie atakującej oprogramowaniem ransomware LockBit; aktywnych klastrach LockBit; liście zarejestrowanych wskaźników cyberataków związanych z oprogramowaniem ransomware LockBit 3.0; oraz metodach zapobiegania atakom typu ransomware i ograniczania ryzyka z nimi związanego.

Raport NCSC, identyfikujący LockBit jako jedną z wiodących grup ransomware na świecie, stwierdził również, że od momentu powstania w 2019 roku LockBit przeprowadził liczne ataki na firmy i organizacje z różnych sektorów. Grupa działa w oparciu o model „Ransomware-as-a-Service (RaaS)”, umożliwiając cyberprzestępcom wdrażanie ransomware i dzielenie się zyskami z podmiotami stojącymi za tą usługą.

ransomware lockbit.jpg
Według ekspertów LockBit jest jedną z najniebezpieczniejszych grup ransomware na świecie. (Ilustracja: Bkav)

Warto zauważyć, że we wrześniu 2022 roku kod źródłowy LockBit 3.0, zawierający kilka nazw, które mogłyby posłużyć do stworzenia tego ransomware, został ujawniony przez osobę o pseudonimie „ali_qushji” na platformie X (dawniej Twitter). Wyciek ten pozwolił ekspertom na dokładniejszą analizę ransomware LockBit 3.0, ale od tego czasu cyberprzestępcy stworzyli falę nowych wariantów ransomware opartych na kodzie źródłowym LockBit 3.0.

Oprócz analizy metod ataków aktywnych klastrów ransomware LockBit, takich jak TronBit, CriptomanGizmo i Tina Turnet, raport NCSC zawiera również listę zarejestrowanych wskaźników IOC (Intelligent Operational Crime) związanych z LockBit 3.0. „Będziemy na bieżąco aktualizować wskaźniki IOC na stronie alert.khonggianmang.vn krajowego portalu cyberbezpieczeństwa” – stwierdził ekspert NCSC.

Szczególnie ważną częścią „Raportu z analizy oprogramowania ransomware LockBit 3.0” są wskazówki dla agencji, organizacji i firm dotyczące zapobiegania i ograniczania ryzyka związanego z atakami ransomware. Ważne uwagi dotyczące wsparcia podmiotów wietnamskich w zapobieganiu atakom ransomware i reagowaniu na nie, przedstawione przez Departament Cyberbezpieczeństwa w „Podręczniku środków zapobiegania i ograniczania ryzyka związanego z atakami ransomware” opublikowanym 6 kwietnia, są nadal rekomendowane do wdrożenia przez ekspertów NCSC.

W-phong-chong-tan-cong-ransomware-1.jpg
Ciągły monitoring w celu wczesnego wykrywania włamań do systemu to jeden z dziewięciu środków, które Agencja Cyberbezpieczeństwa zaleca organizacjom wdrożyć w celu zapobiegania atakom typu ransomware. (Ilustracja: Khanh Linh)

Według ekspertów, obecne ataki ransomware często wynikają z luk w zabezpieczeniach organizacji. Atakujący infiltrują system, utrzymują obecność, rozszerzają swój zasięg, kontrolują infrastrukturę IT organizacji i paraliżują system, aby zmusić organizacje będące ofiarami do zapłaty okupu w celu odzyskania zaszyfrowanych danych.

W rozmowie z reporterami VietNamNet pięć dni po ataku na system VNDIRECT przedstawiciel Departamentu Bezpieczeństwa Informacji, wypowiadając się z perspektywy jednostki koordynującej reagowanie na incydent, stwierdził: Ten incydent jest ważną lekcją mającą na celu podniesienie świadomości cyberbezpieczeństwa wśród organizacji i przedsiębiorstw w Wietnamie.

W związku z tym agencje, organizacje i przedsiębiorstwa, zwłaszcza te działające w sektorach o znaczeniu krytycznym, takich jak finanse, bankowość, papiery wartościowe, energetyka i telekomunikacja, muszą pilnie i proaktywnie dokonać przeglądu i wzmocnienia istniejących systemów bezpieczeństwa i personelu, a także opracować plany reagowania na incydenty.

„Organizacje muszą ściśle przestrzegać wydanych przepisów, wymogów i wytycznych dotyczących bezpieczeństwa informacji i cyberbezpieczeństwa. Obowiązkiem każdej organizacji i firmy jest ochrona siebie i swoich klientów przed potencjalnymi zagrożeniami cyberatakami” – podkreślił przedstawiciel Departamentu Bezpieczeństwa Informacji.

Ransomware LockBit był pierwotnie znany jako ABCD, od rozszerzenia zaszyfrowanego pliku. Po kilku miesiącach pojawiła się odmiana ABCD pod obecną nazwą Lockbit. Rok później grupa wydała ulepszoną wersję LockBit 2.0 (znaną również jako LockBit Red), która zawierała zintegrowane złośliwe oprogramowanie o nazwie StealBit, mające na celu kradzież poufnych danych. LockBit 3.0, czyli LockBit Black, to najnowsza wersja, wydana w 2022 roku, z nowymi funkcjami i zaawansowanymi technikami obchodzenia zabezpieczeń.
Dlaczego system PVOIL tak szybko odzyskał sprawność po ataku ransomware?

Dlaczego system PVOIL tak szybko odzyskał sprawność po ataku ransomware?

Oprócz stosunkowo niewielkich rozmiarów systemu, kluczowym czynnikiem, który pozwolił firmie PVOIL szybko rozwiązać problem ataku ransomware i przywrócić działanie systemu w ciągu zaledwie kilku dni, były dane zapasowe.
Stwórz kulturę bezpieczeństwa, aby zwiększyć obronę przed atakami typu ransomware.

Stwórz kulturę bezpieczeństwa, aby zwiększyć obronę przed atakami typu ransomware.

Według CDNetworks Vietnam przedsiębiorstwa mogą zwiększyć swoją obronę przed cyberatakami, w tym atakami typu ransomware, inwestując w szkolenia pracowników, pielęgnując kulturę bezpieczeństwa i promując współpracę między pracownikami a zespołami ds. bezpieczeństwa.
Płacenie okupu za dane zachęci hakerów do zwiększenia liczby ataków typu ransomware.

Płacenie okupu za dane zachęci hakerów do zwiększenia liczby ataków typu ransomware.

Eksperci są zgodni, że organizacje dotknięte atakami ransomware nie powinny płacić okupu hakerom. Zachęciłoby to hakerów do atakowania innych celów lub zachęciłoby inne grupy hakerów do ponownego ataku na systemy organizacji.