O ataque cibernético ao sistema VNDIRECT em 24 de março foi identificado como um ataque de malware de criptografia de dados - ransomware. Esse tipo de ataque é uma grande preocupação para empresas e organizações na era digital. Para ajudar os leitores a entender melhor os ataques de ransomware, o nível de perigo e como prevenir e responder, a VietNamNet produziu uma série de artigos "O perigo existencial dos ataques de criptografia de dados".

Estendendo o "pesadelo" do malware de criptografia de dados

O ataque cibernético ao sistema VNDIRECT, uma empresa entre as três maiores do mercado de ações vietnamita, ocorrido na manhã de 24 de março, foi basicamente resolvido. Os dados foram decodificados e o sistema de consulta da Minha Conta voltou a funcionar.

O VNDIRECT relatou que o incidente de 24 de março foi realizado por um grupo de ataque profissional, que criptografou todos os dados da empresa. Ataques de malware para criptografia de dados (ransomware) sempre foram um pesadelo para empresas e organizações em todo o mundo nos últimos anos, devido às graves consequências que podem causar. Especialistas também comparam o ransomware a um "pesadelo" e um "fantasma" no ciberespaço.

Especialistas afirmam que é necessário mais tempo para corrigir completamente o ataque ao sistema VNDIRECT. Foto: DL

De acordo com o roteiro anunciado pela VNDIRECT a clientes e parceiros, a unidade operacional continuará a reabrir gradualmente sistemas, produtos e outras utilidades. A unidade planeja verificar o fluxo com as bolsas de valores em 28 de março.

No entanto, a partir da análise de especialistas em segurança da informação, percebe-se que a equipe de tecnologia e os especialistas da VNDIRECT ainda enfrentam dificuldades para rastrear vulnerabilidades e corrigir completamente o problema. O ransomware não é uma forma nova de ataque cibernético, mas é muito complexo, exigindo muito tempo para limpar os dados, restaurar completamente o sistema e retornar às operações normais.

"Para corrigir completamente um ataque de ransomware, às vezes a unidade operacional precisa alterar a arquitetura do sistema, especialmente o sistema de backup. Portanto, com o incidente que a VNDIRECT está enfrentando, acreditamos que levará mais tempo, até meses, para que o sistema se recupere totalmente", disse Vu Ngoc Son, Diretor Técnico da NCS.

O Sr. Nguyen Minh Hai, Diretor Técnico da Fortinet Vietnã, disse que, dependendo da gravidade do ataque, da capacidade de preparação antecipada e da eficácia do plano de resposta, o tempo necessário para recuperar o sistema após um ataque de ransomware pode variar muito, de algumas horas a várias semanas para recuperação completa, especialmente em casos em que uma grande quantidade de dados precisa ser recuperada.

“Parte desse processo de recuperação inclui garantir que o malware de criptografia de dados tenha sido completamente removido da rede e que nenhum backdoor tenha sido deixado para trás, o que poderia permitir que invasores recuperassem o acesso”, disse Nguyen Minh Hai.

Especialistas também comentaram que, além de ser um "chamado de atenção" para as unidades que gerenciam e operam sistemas de informação importantes no Vietnã, o ataque cibernético ao VNDIRECT também mostrou mais uma vez o nível de perigo do ransomware.

Mais de 6 anos atrás, o WannaCry e suas variantes de malware de criptografia de dados fizeram com que muitas empresas e organizações "lutassem" quando se espalharam rapidamente para mais de 300.000 computadores em quase 100 países e territórios ao redor do mundo , incluindo o Vietnã.

Nos últimos anos, as empresas sempre se preocuparam com ataques de ransomware. No ano passado, o ciberespaço do Vietnã registrou muitos ataques de ransomware com consequências graves; houve casos em que hackers não apenas criptografaram dados para exigir resgate, mas também os venderam a terceiros para maximizar o valor arrecadado. De acordo com estatísticas do NCS, em 2023, até 83.000 computadores e servidores no Vietnã foram registrados como tendo sido atacados por ransomware.

'Caminhos' comuns para penetrar no sistema

A equipe de tecnologia da VNDIRECT está trabalhando com especialistas em segurança da informação para implementar soluções que restaurem completamente o sistema, garantindo sua segurança. A causa do incidente e o "caminho" que o hacker utilizou para invadir o sistema ainda estão sob investigação.

De acordo com o Sr. Ngo Tuan Anh, CEO da SCS Smart Network Security Company, para atacar a criptografia de dados, os hackers frequentemente optam por invadir o servidor que contém dados importantes e criptografá-los. Existem duas maneiras que os hackers costumam usar para invadir o sistema de unidades: diretamente através das vulnerabilidades e fraquezas do sistema do servidor; ou optar por "passar" pelo computador do administrador e, a partir daí, assumir o controle do sistema.

Adivinhação de senhas e exploração de vulnerabilidades de dia zero são dois "caminhos" que os hackers costumam usar para invadir o sistema e, a partir daí, criptografar dados para chantagem. Foto ilustrativa: zephyr_p/Fotolia

Em conversa com o VietNamNet , o Sr. Vu The Hai, chefe do departamento de monitoramento de segurança da informação da empresa VSEC, também destacou algumas possibilidades para hackers se infiltrarem e instalarem malware no sistema: explorar vulnerabilidades existentes no sistema para assumir o controle e instalar malware; enviar e-mails com arquivos anexados contendo malware para enganar usuários no sistema aberto, ativar malware; fazer login no sistema com senhas vazadas ou senhas fracas de usuários do sistema.

O especialista Vu Ngoc Son analisou que, em ataques de ransomware, os hackers geralmente entram no sistema por diversas maneiras, como exploração de senhas e vulnerabilidades do sistema, principalmente vulnerabilidades de dia zero (vulnerabilidades que o fabricante ainda não corrigiu - PV).

As empresas financeiras geralmente precisam atender a padrões regulatórios, então a possibilidade de descoberta de senhas é quase impossível. A possibilidade mais provável é um ataque por meio de uma vulnerabilidade de dia zero. Consequentemente, os hackers enviam remotamente segmentos de dados causadores de erros que fazem com que o software entre em um estado descontrolado durante o processamento.

Em seguida, o hacker executa código remotamente e assume o controle do servidor de serviço. A partir desse servidor, o hacker continua coletando informações, usa as contas administrativas obtidas para atacar outros servidores na rede e, por fim, executa ferramentas de criptografia de dados para extorsão", analisou o especialista Vu Ngoc Son.

Uma nova pesquisa realizada pela empresa de segurança Fortinet com empresas na região da Ásia -Pacífico , incluindo o Vietnã, mostra que: O ransomware ainda é uma grande preocupação. A extorsão por meio de ataques de ransomware é a principal preocupação em segurança cibernética para os fabricantes, com 36% das organizações pesquisadas relatando ter sofrido um ataque de ransomware no último ano, um aumento de 23% em relação à pesquisa semelhante da Fortinet em 2020.

Lição 2 - Especialistas mostram como responder a ataques de ransomware

O dia 15 de abril é o prazo final para que as empresas de valores mobiliários concluam a revisão e avaliação da segurança da informação e implementem medidas para superar os riscos e as fraquezas dos sistemas, incluindo o sistema que atende às transações de valores mobiliários on-line.