Opublikowano raport z analizy ransomware LockBit 3.0

W ciągu 3 tygodni, od 24 marca do pierwszego tygodnia kwietnia br., wietnamska cyberprzestrzeń odnotowała kolejne ukierunkowane ataki w formie ransomware na duże wietnamskie przedsiębiorstwa działające w ważnych sektorach, takich jak finanse, papiery wartościowe, energetyka, telekomunikacja itp. Ataki te spowodowały zawieszenie systemów przedsiębiorstw na pewien czas, powodując znaczne szkody ekonomiczne i wizerunkowe dla jednostek, których systemy stały się celem grup cyberprzestępczych.

Podczas procesu analizy i badania przyczyn oraz grup podmiotów, które ostatnio zaatakowały systemy informatyczne wietnamskich przedsiębiorstw, władze ustaliły, że incydenty te były „produktami” wielu różnych grup atakujących, takich jak LockBit, BlackCat, Mallox... W szczególności w przypadku ataku ransomware na system VNDIRECT, który miał miejsce 24 marca o godzinie 10:00 rano i zaszyfrował wszystkie dane przedsiębiorstw z czołowej trójki wietnamskiej giełdy, władze zidentyfikowały grupę LockBit ze złośliwym oprogramowaniem LockBit 3.0 jako stojącą za tym incydentem.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Narodowe Centrum Cyberbezpieczeństwa, Departament A05 ( Ministerstwo Bezpieczeństwa Publicznego ) potwierdziło, że atak na system firmy papierów wartościowych VNDIRECT w marcu 2024 r. został przeprowadzony przy użyciu LockBit 3.0.

Na całym świecie grupa LockBit przeprowadziła wiele ataków ransomware wymierzonych w duże firmy i organizacje. Na przykład, w czerwcu i październiku 2023 roku, ta niesławna grupa ransomware zaatakowała firmę produkującą półprzewodniki TSMC (Tajwan, Chiny) oraz firmę produkującą produkty i usługi informatyczne CDW, żądając okupu w wysokości 70-80 milionów dolarów.

Chcąc pomóc agencjom, organizacjom i przedsiębiorstwom w Wietnamie lepiej zrozumieć poziom zagrożenia oraz sposoby zapobiegania i minimalizowania ryzyka związanego z atakami ransomware, a także atakami grupy LockBit, Narodowe Centrum Monitorowania Cyberbezpieczeństwa - NCSC działające w ramach Departamentu Bezpieczeństwa Informacyjnego (Ministerstwo Informacji i Łączności) właśnie dokonało syntezy źródeł informacji na temat cyberprzestrzeni i opublikowało „Raport z analizy ransomware LockBit 3.0”.

Najniebezpieczniejsza na świecie grupa zajmująca się oprogramowaniem ransomware

Nowy raport NCSC koncentruje się na dostarczeniu czterech głównych treści, w tym: Informacje o grupie ataków ransomware LockBit; Aktywne klastry LockBit; Lista zarejestrowanych wskaźników ataków cybernetycznych związanych z LockBit 3.0; Jak zapobiegać atakom ransomware i minimalizować ryzyko z nimi związane.

Raport NCSC, określając LockBit jako jedną z najgroźniejszych grup ransomware na świecie, stwierdza również, że od momentu swojego debiutu w 2019 roku LockBit przeprowadził liczne ataki na firmy i organizacje z różnych sektorów. Grupa działa w modelu „Ransomware-as-a-Service (RaaS)”, umożliwiając cyberprzestępcom wdrażanie ransomware i dzielenie się zyskami z osobami stojącymi za tą usługą.

ransomware lockbit.jpg
Według ekspertów LockBit jest jedną z najniebezpieczniejszych grup ransomware na świecie. Ilustracja: Bkav

Warto zauważyć, że we wrześniu 2022 roku kod źródłowy LockBit 3.0, zawierający niektóre nazwy, które mogły zostać użyte do stworzenia tego ransomware, został ujawniony przez osobę o pseudonimie „ali_qushji” na platformie X (dawniej Twitter). Wyciek ten pozwolił ekspertom na dalszą analizę próbki ransomware LockBit 3.0, ale od tego czasu cyberprzestępcy stworzyli falę nowych wariantów ransomware opartych na kodzie źródłowym LockBit 3.0.

Oprócz analizy metod ataków aktywnych klastrów ransomware LockBit, takich jak TronBit, CriptomanGizmo czy Tina Turnet, raport NCSC zawiera również listę wskaźników cyberataków związanych z LockBit 3.0, które zostały zarejestrowane. „Będziemy na bieżąco aktualizować informacje o wskaźnikach IOC na stronie alert.khonggianmang.vn krajowego portalu cyberprzestrzeni” – powiedział ekspert NCSC.

Szczególnie ważną częścią raportu „LockBit 3.0 Ransomware Analysis Report” są wskazówki dla agencji, organizacji i firm, jak zapobiegać atakom ransomware i minimalizować ryzyko z nimi związane. Ważne wskazówki dotyczące wsparcia jednostek w Wietnamie w zapobieganiu atakom ransomware i reagowaniu na nie zostały omówione przez Departament Bezpieczeństwa Informacji w „Podręczniku dotyczącym środków zapobiegania atakom ransomware i minimalizowania ryzyka z nich wynikającego”, opublikowanym 6 kwietnia, i nadal są rekomendowane do wdrożenia przez ekspertów NCSC.

W-anti-ransomware-attack-1.jpg
Ciągły monitoring w celu wczesnego wykrywania włamań do systemu to jeden z dziewięciu środków, które Departament Bezpieczeństwa Informacji zaleca organizacjom wdrożenie w celu zapobiegania atakom ransomware. Zdjęcie ilustracyjne: Khanh Linh

Według ekspertów, ataki ransomware często biorą swój początek w słabości zabezpieczeń agencji lub organizacji. Atakujący penetrują system, utrzymują swoją obecność, rozszerzają zakres włamań, kontrolują infrastrukturę IT organizacji i paraliżują system, aby zmusić organizacje będące rzeczywistymi ofiarami do zapłaty okupu w zamian za odzyskanie zaszyfrowanych danych.

Dzieląc się z reporterami VietNamNet informacją o ataku na system VNDIRECT, który miał miejsce 5 dni temu, przedstawiciel Departamentu Bezpieczeństwa Informacyjnego stwierdził z perspektywy jednostki biorącej udział w koordynacji działań wspierających reagowanie na incydenty: Incydent ten stanowi ważną lekcję mającą na celu podniesienie świadomości organizacji i przedsiębiorstw w Wietnamie na temat bezpieczeństwa sieci i ochrony tych organizacji.

W związku z tym agencje, organizacje i przedsiębiorstwa, zwłaszcza te działające w ważnych sektorach, takich jak finanse, bankowość, papiery wartościowe, energetyka, telekomunikacja itp., muszą pilnie i proaktywnie dokonać przeglądu i wzmocnienia istniejących systemów bezpieczeństwa oraz zatrudnić profesjonalny personel, a także opracować plany reagowania na incydenty.

„Organizacje muszą ściśle przestrzegać wydanych przepisów, wymogów i wytycznych dotyczących bezpieczeństwa informacji i bezpieczeństwa sieci. Obowiązkiem każdej organizacji i przedsiębiorstwa jest ochrona siebie i swoich klientów przed potencjalnymi cyberatakami” – podkreślił przedstawiciel Departamentu Bezpieczeństwa Informacji.

Ransomware LockBit był początkowo znany jako ABCD (od zaszyfrowanego rozszerzenia pliku), a kilka miesięcy później pojawił się wariant ABCD o obecnej nazwie Lockbit. Rok później grupa wydała ulepszoną wersję, LockBit 2.0 (znaną również jako LockBit Red), która zawierała zintegrowane złośliwe oprogramowanie o nazwie StealBit, służące do kradzieży poufnych danych. LockBit 3.0, znany również jako LockBit Black, to najnowsza wersja, wydana w 2022 roku, z nowymi funkcjami i ulepszonymi technikami unikania.
Dlaczego system PVOIL może szybko odzyskać siły po ataku ransomware?

Dlaczego system PVOIL może szybko odzyskać siły po ataku ransomware?

Oprócz niewielkiego rozmiaru systemu, ważnym czynnikiem, dzięki któremu PVOIL może szybko naprawić skutki ataku ransomware i przywrócić działanie systemu po zaledwie kilku dniach, jest kopia zapasowa danych.
Kształtowanie kultury bezpieczeństwa w celu zwiększenia ochrony przed atakami ransomware

Kształtowanie kultury bezpieczeństwa w celu zwiększenia ochrony przed atakami ransomware

Według CDNetworks Vietnam przedsiębiorstwa mogą zwiększyć swoją obronę przed atakami cybernetycznymi, w tym atakami typu ransomware, inwestując w szkolenia pracowników, kształtując kulturę bezpieczeństwa i promując współpracę między pracownikami a zespołem ds. bezpieczeństwa.
Płacenie okupów zachęci hakerów do zwiększenia liczby ataków ransomware

Płacenie okupów zachęci hakerów do zwiększenia liczby ataków ransomware

Eksperci są zgodni, że organizacje zaatakowane przez ransomware nie powinny płacić okupu hakerom. To zachęci hakerów do atakowania innych celów lub zachęci inne grupy hakerów do kontynuowania ataków na ich systemy.