VietNamNet prezentuje artykuł autorstwa Dao Trunga Thanha, eksperta ds. cyberbezpieczeństwa i zastępcy dyrektora Blockchain and AI Institute, który ma na celu omówienie cyberataku na firmę VNDirect Securities Company i zagrożeń związanych z oprogramowaniem typu ransomware.
Ransomware, czyli rodzaj złośliwego oprogramowania, które szyfruje dane w systemie ofiary i żąda okupu za ich odszyfrowanie, stał się jednym z najgroźniejszych zagrożeń cyberbezpieczeństwa na świecie . Zdjęcie: zephyr_p/Fotolia

Sprawa VNDirect i co sprawia, że ​​ransomware jest niebezpieczny?

24 marca 2024 roku wietnamska firma VNDirect Securities Company stała się najnowszym punktem zapalnym na mapie międzynarodowych ataków ransomware. Ten atak nie jest odosobnionym przypadkiem.

Ransomware, czyli rodzaj złośliwego oprogramowania zaprojektowanego do szyfrowania danych w systemie ofiary i żądania okupu za ich odszyfrowanie, stał się jednym z najpowszechniejszych i najniebezpieczniejszych zagrożeń cyberbezpieczeństwa na świecie. Rosnące uzależnienie od danych cyfrowych i technologii informatycznych we wszystkich obszarach życia społecznego sprawia, że ​​organizacje i osoby prywatne są podatne na te ataki.

Zagrożenie ze strony ransomware tkwi nie tylko w jego zdolności do szyfrowania danych, ale także w sposobie, w jaki się rozprzestrzenia i żąda okupu, tworząc kanał transakcji finansowych, za pośrednictwem którego hakerzy mogą czerpać nielegalne zyski. Wyrafinowanie i nieprzewidywalność ataków ransomware sprawiają, że są one jednym z największych wyzwań stojących przed dzisiejszym cyberbezpieczeństwem.

Atak VNDirect dobitnie przypomina o tym, jak ważne jest zrozumienie i zapobieganie atakom ransomware. Tylko rozumiejąc, jak działa ransomware i jakie zagrożenie stwarza, możemy wdrożyć skuteczne środki ochrony, od edukacji użytkowników, przez stosowanie rozwiązań technicznych, po opracowanie kompleksowej strategii prewencyjnej w celu ochrony krytycznych danych i systemów informatycznych.

Jak działa ransomware

Ransomware, przerażające zagrożenie w świecie cyberbezpieczeństwa, działa w wyrafinowany i wielopłaszczyznowy sposób, powodując poważne konsekwencje dla ofiar. Aby lepiej zrozumieć, jak działa ransomware, musimy zagłębić się w każdy etap procesu ataku.

Zakażenie

Atak rozpoczyna się od zainfekowania systemu przez ransomware. Istnieje kilka typowych sposobów, w jakie ransomware może dostać się do systemu ofiary, w tym:

E-maile phishingowe: Fałszywe e-maile ze złośliwymi załącznikami lub linkami do stron internetowych zawierających złośliwy kod; Wykorzystywanie luk w zabezpieczeniach: Wykorzystanie luk w niezałatanym oprogramowaniu do automatycznej instalacji oprogramowania ransomware bez interakcji użytkownika; Malvertising: Używanie reklam internetowych do rozpowszechniania złośliwego oprogramowania; Pobieranie plików ze złośliwych stron internetowych: Użytkownicy pobierają oprogramowanie lub treści z niezaufanych stron internetowych.

Szyfrowanie

Po zainfekowaniu ransomware rozpoczyna proces szyfrowania danych w systemie ofiary. Szyfrowanie to proces konwersji danych do formatu, którego nie można odczytać bez klucza deszyfrującego. Ransomware często wykorzystuje silne algorytmy szyfrowania, uniemożliwiając odzyskanie zaszyfrowanych danych bez odpowiedniego klucza.

Żądanie okupu

Po zaszyfrowaniu danych, ransomware wyświetla na ekranie ofiary komunikat z żądaniem okupu za odszyfrowanie danych. Komunikat ten zazwyczaj zawiera instrukcje dotyczące sposobu zapłaty (zazwyczaj w Bitcoinie lub innej kryptowalutzie, aby ukryć tożsamość przestępcy), a także termin płatności. Niektóre wersje ransomware grożą również usunięciem danych lub ich opublikowaniem, jeśli okup nie zostanie zapłacony.

Transakcje i deszyfrowanie (lub nie)

Ofiara staje wówczas przed trudną decyzją: zapłacić okup i liczyć na odzyskanie danych, czy odmówić i utracić je bezpowrotnie. Zapłacenie okupu nie gwarantuje jednak odszyfrowania danych. Wręcz przeciwnie, może zachęcić przestępców do kontynuowania działań.

Sposób działania ransomware świadczy nie tylko o zaawansowaniu technicznym, ale także o smutnej rzeczywistości: gotowości do wykorzystania naiwności i niewiedzy użytkowników. Podkreśla to wagę zwiększania świadomości i wiedzy na temat cyberbezpieczeństwa, od rozpoznawania wiadomości phishingowych po aktualizację oprogramowania zabezpieczającego. W obliczu stale ewoluującego zagrożenia, takiego jak ransomware, edukacja i profilaktyka są ważniejsze niż kiedykolwiek.

Typowe warianty oprogramowania ransomware

W stale ewoluującym świecie zagrożeń ransomware, niektóre warianty wyróżniają się swoją wyrafinowaniem, zdolnością do rozprzestrzeniania się i poważnym wpływem na organizacje na całym świecie. Oto opisy siedmiu popularnych wariantów i ich działania.

REvil (znany również jako Sodinokibi)

Funkcje: REvil to odmiana oprogramowania ransomware-as-a-Service (RaaS), umożliwiająca cyberprzestępcom „wynajem” go do przeprowadzania własnych ataków. To znacznie zwiększa zdolność ransomware do rozprzestrzeniania się i liczbę ofiar.

Metody propagacji: Dystrybucja za pośrednictwem luk w zabezpieczeniach, wiadomości phishingowych i narzędzi do ataków zdalnych. REvil wykorzystuje również metody ataku do automatycznego szyfrowania lub kradzieży danych.

Ryuk

Cechy: Ryuk atakuje głównie duże organizacje, aby maksymalizować okup. Potrafi dostosowywać się do każdego ataku, co utrudnia jego wykrycie i usunięcie.

Metoda propagacji: Ryuk rozprzestrzenia i szyfruje dane sieciowe za pomocą wiadomości phishingowych i sieci zainfekowanych innym złośliwym oprogramowaniem, takim jak Trickbot i Emotet.

Robinhood

Cechy: Robinhood znany jest ze swojej zdolności do atakowania systemów rządowych i dużych organizacji poprzez stosowanie wyrafinowanej taktyki szyfrowania w celu blokowania plików i żądania wysokich okupów.

Metoda propagacji: Rozprzestrzenianie się za pośrednictwem kampanii phishingowych oraz wykorzystywanie luk w zabezpieczeniach oprogramowania.

DoppelPaymer

Cechy: DoppelPaymer to samodzielna odmiana ransomware, która może wyrządzić poważne szkody poprzez szyfrowanie danych i groźbę ujawnienia informacji, jeśli okup nie zostanie zapłacony.

Metoda propagacji: Rozprzestrzenianie się za pomocą narzędzi do ataków zdalnych i wiadomości e-mail typu phishing, w szczególności wykorzystujące luki w zabezpieczeniach niezałatanego oprogramowania.

WĄŻ (znany również jako EKANS)

Cechy: SNAKE został zaprojektowany do atakowania przemysłowych systemów sterowania (ICS). Nie tylko szyfruje dane, ale może również zakłócać procesy przemysłowe.

Metoda propagacji: poprzez kampanie phishingowe i wykorzystujące luki w zabezpieczeniach, kładące nacisk na atakowanie konkretnych systemów przemysłowych.

Fobos

Cechy: Phobos ma wiele podobieństw do Dharmy, innej odmiany ransomware, i jest często wykorzystywany do ataków na małe firmy za pośrednictwem protokołu RDP (Remote Desktop Protocol).

Metoda propagacji: Przede wszystkim poprzez odsłonięty lub podatny na ataki protokół RDP, umożliwiający atakującym zdalny dostęp i wdrażanie oprogramowania ransomware.

Blokada bitu

LockBit to kolejna popularna odmiana ransomware, działająca w modelu Ransomware-as-a-Service (RaaS) i znana z ataków na firmy i instytucje rządowe. LockBit przeprowadza ataki w trzech głównych etapach: wykorzystuje luki w zabezpieczeniach, wnika głęboko w system i wdraża pakiet szyfrujący.

Faza 1 - Wykorzystanie: LockBit wykorzystuje luki w zabezpieczeniach sieci, stosując techniki takie jak inżynieria społeczna (np. za pośrednictwem wiadomości phishingowych) lub ataki siłowe na serwery intranetu i systemy sieciowe.

Faza 2 - Infiltracja: Po infiltracji LockBit używa narzędzia „post-eksploatacyjnego”, aby zwiększyć swój poziom dostępu i przygotować system na atak szyfrujący.

Faza 3 – Wdrożenie: LockBit wdraża zaszyfrowany ładunek na każdym dostępnym urządzeniu w sieci, szyfrując wszystkie pliki systemowe i pozostawiając notatkę z żądaniem okupu.

LockBit wykorzystuje również szereg darmowych i otwartych narzędzi w swoim procesie włamań, od skanerów sieciowych po oprogramowanie do zdalnego zarządzania, do przeprowadzania rekonesansu sieci, zdalnego dostępu, kradzieży danych uwierzytelniających i eksfiltracji danych. W niektórych przypadkach LockBit grozi nawet ujawnieniem danych osobowych ofiary, jeśli żądanie okupu nie zostanie spełnione.

Ze względu na swoją złożoność i zdolność do szerokiego rozprzestrzeniania się, LockBit stanowi jedno z największych zagrożeń we współczesnym świecie ransomware. Organizacje muszą wdrożyć kompleksowy zestaw środków bezpieczeństwa, aby chronić się przed tym ransomware i jego wariantami.

Dao Trung Thanh

Lekcja 2: Od ataku VNDirect do strategii antyransomware