O ciberataque ao sistema VNDIRECT em 24 de março foi identificado como um ataque de malware de criptografia de dados – ransomware. Esse tipo de ataque é uma grande preocupação para empresas e organizações na era digital. Para ajudar os leitores a entenderem melhor os ataques de ransomware, o nível de perigo e como prevenir e responder a eles, o VietNamNet produziu uma série de artigos intitulada "O perigo existencial dos ataques de criptografia de dados".

Ampliando o "pesadelo" do malware de criptografia de dados

O ataque cibernético ao sistema da VNDIRECT, uma empresa entre as 3 maiores do mercado de ações vietnamita, ocorrido na manhã de 24 de março, foi praticamente resolvido. Os dados foram decodificados e o sistema de consulta "Minha Conta" voltou a funcionar.

A VNDIRECT relatou que o incidente de 24 de março foi realizado por um grupo de ataque profissional, resultando na criptografia de todos os dados da empresa. Ataques de ransomware têm sido um pesadelo para empresas e organizações em todo o mundo ao longo dos anos, devido às graves consequências que podem causar. Especialistas também comparam o ransomware a um "pesadelo" e um "fantasma" no ciberespaço.

Especialistas afirmam que é necessário mais tempo para corrigir completamente o ataque ao sistema VNDIRECT. Foto: DL

De acordo com o roteiro divulgado pela VNDIRECT a clientes e parceiros, a unidade operacional continuará a reabrir gradualmente sistemas, produtos e outras funcionalidades. A unidade planeja verificar o fluxo junto às bolsas de valores em 28 de março.

No entanto, a análise de especialistas em segurança da informação revela que a árdua tarefa da equipe de tecnologia e dos especialistas da VNDIRECT em buscar vulnerabilidades e solucionar o problema ainda está por vir. O ransomware não é uma forma nova de ataque cibernético, mas é extremamente complexo, exigindo muito tempo para a limpeza dos dados, a restauração completa do sistema e o retorno às operações normais.

“Para solucionar completamente um ataque de ransomware, às vezes a unidade operacional precisa alterar a arquitetura do sistema, especialmente o sistema de backup. Portanto, com o incidente que a VNDIRECT está enfrentando, acreditamos que levará mais tempo, até mesmo meses, para que o sistema se recupere totalmente”, disse Vu Ngoc Son, Diretor Técnico da NCS.

O Sr. Nguyen Minh Hai, Diretor Técnico da Fortinet Vietnam, afirmou que, dependendo da gravidade do ataque, da capacidade de preparação prévia e da eficácia do plano de resposta, o tempo necessário para recuperar o sistema após um ataque de ransomware pode variar bastante, de algumas horas a várias semanas para uma recuperação completa, especialmente em casos onde uma grande quantidade de dados precisa ser recuperada.

“Parte desse processo de recuperação inclui garantir que o malware de criptografia de dados tenha sido completamente removido da rede e que nenhuma brecha tenha sido deixada para trás, permitindo que invasores recuperem o acesso”, disse Nguyen Minh Hai.

Especialistas também comentaram que, além de ser um "alerta" para as unidades que gerenciam e operam importantes sistemas de informação no Vietnã, o ataque cibernético à VNDIRECT também demonstrou, mais uma vez, o nível de perigo dos ransomwares.

Há mais de 6 anos, o WannaCry e suas variantes de malware de criptografia de dados causaram muitos problemas para empresas e organizações, quando se espalharam rapidamente para mais de 300.000 computadores em quase 100 países e territórios ao redor do mundo , incluindo o Vietnã.

Nos últimos anos, as empresas têm se preocupado cada vez mais com ataques de ransomware. No ano passado, o ciberespaço do Vietnã registrou muitos ataques de ransomware com graves consequências; houve casos em que os hackers não apenas criptografaram dados para exigir resgate, mas também venderam os dados a terceiros para maximizar o valor arrecadado. De acordo com as estatísticas do Serviço Nacional de Estatísticas (NCS), em 2023, cerca de 83.000 computadores e servidores no Vietnã foram alvo de ataques de ransomware.

Caminhos comuns para a penetração no sistema

A equipe de tecnologia da VNDIRECT está trabalhando com especialistas em segurança da informação para implementar soluções que restaurem completamente o sistema e garantam sua segurança. A causa do incidente e o "caminho" utilizado pelos hackers para invadir o sistema ainda estão sob investigação.

Segundo Ngo Tuan Anh, CEO da SCS Smart Network Security Company, para atacar a criptografia de dados, os hackers geralmente optam por invadir o servidor que contém dados importantes e criptografá-los. Existem duas maneiras comuns de os hackers penetrarem no sistema: explorando diretamente as vulnerabilidades e fragilidades do servidor; ou contornando o sistema pelo computador do administrador e, a partir daí, assumindo o controle.

Adivinhação de senhas e exploração de vulnerabilidades de dia zero são dois "caminhos" que hackers frequentemente usam para invadir sistemas, dos quais criptografam dados para extorsão. Foto ilustrativa: zephyr_p/Fotolia

Em entrevista ao VietNamNet , o Sr. Vu The Hai, chefe do Departamento de Monitoramento de Segurança da Informação da empresa VSEC, também apontou algumas possibilidades de hackers se infiltrarem e instalarem malware no sistema: explorar vulnerabilidades existentes no sistema para assumir o controle e instalar malware; enviar e-mails com arquivos anexados contendo malware para enganar usuários em sistemas abertos e ativar o malware; acessar o sistema utilizando senhas vazadas ou senhas fracas de usuários.

O especialista Vu Ngoc Son analisou que, em ataques de ransomware, os hackers geralmente entram no sistema de várias maneiras, como sondagem de senhas, exploração de vulnerabilidades do sistema, principalmente vulnerabilidades zero-day (vulnerabilidades que o fabricante ainda não corrigiu - PV).

"As empresas financeiras geralmente precisam cumprir normas regulatórias, então a possibilidade de descoberta de senhas é quase impossível. A possibilidade mais provável é um ataque por meio de uma vulnerabilidade zero-day. Nesse caso, os hackers enviam remotamente segmentos de dados que causam erros e fazem com que o software entre em um estado descontrolado durante o processamento."

Em seguida, o hacker executa código remotamente e assume o controle do servidor de serviço. A partir desse servidor, o hacker continua coletando informações, usa as contas administrativas obtidas para atacar outros servidores na rede e, finalmente, executa ferramentas de criptografia de dados para extorsão”, analisou o especialista Vu Ngoc Son.

Uma nova pesquisa realizada pela empresa de segurança Fortinet com empresas na região da Ásia- Pacífico , incluindo o Vietnã, mostra que: o ransomware ainda é uma grande preocupação. A extorsão por meio de ataques de ransomware é a principal preocupação de segurança cibernética para fabricantes, com 36% das organizações pesquisadas relatando terem sofrido um ataque de ransomware no último ano, um aumento de 23% em relação à pesquisa semelhante da Fortinet realizada em 2020.

Lição 2 - Especialistas mostram como responder a ataques de ransomware

O dia 15 de abril é o prazo final para que as corretoras de valores mobiliários concluam a revisão e avaliação da segurança da informação e implementem medidas para superar os riscos e as fragilidades dos sistemas, incluindo os sistemas que atendem às transações de valores mobiliários online.