O ataque cibernético ao sistema VNDIRECT em 24 de março foi identificado como um ataque de malware de criptografia de dados - ransomware. Esse tipo de ataque é uma grande preocupação para empresas e organizações na era digital. Para ajudar os leitores a entender melhor os ataques de ransomware, o nível de perigo e como prevenir e responder, a VietNamNet produziu uma série de artigos "O perigo existencial dos ataques de criptografia de dados".

Ampliando o "pesadelo" do malware de criptografia de dados

O ataque cibernético ao sistema VNDIRECT, uma empresa entre as três maiores do mercado de ações vietnamita, ocorrido na manhã de 24 de março, foi basicamente resolvido. Os dados foram decodificados e o sistema de consulta da Minha Conta voltou a funcionar.

O VNDIRECT relatou que o incidente de 24 de março foi realizado por um grupo de ataque profissional, que criptografou todos os dados da empresa. Ataques de ransomware têm sido um pesadelo para empresas e organizações em todo o mundo ao longo dos anos, devido às graves consequências que podem causar. Especialistas também comparam o ransomware a um "pesadelo" e a um "fantasma" no ciberespaço.

Especialistas afirmam que é necessário mais tempo para corrigir completamente o ataque ao sistema VNDIRECT. Foto: DL

De acordo com o roteiro anunciado pela VNDIRECT a clientes e parceiros, a unidade operacional continuará a reabrir gradualmente sistemas, produtos e outros serviços públicos. A unidade planeja verificar o fluxo com as bolsas de valores em 28 de março.

No entanto, a partir da análise de especialistas em segurança da informação, percebe-se que a difícil jornada da equipe de tecnologia e dos especialistas da VNDIRECT para rastrear vulnerabilidades e corrigir o problema completamente ainda é longa. O ransomware não é uma forma nova de ataque cibernético, mas é muito complexo, exigindo muito tempo para limpar os dados, restaurar completamente o sistema e retornar às operações normais.

"Para corrigir completamente um ataque de ransomware, às vezes a unidade operacional precisa alterar a arquitetura do sistema, especialmente o sistema de backup. Portanto, com o incidente que a VNDIRECT está enfrentando, acreditamos que levará mais tempo, até meses, para que o sistema se recupere totalmente", disse Vu Ngoc Son, Diretor Técnico da NCS.

O Sr. Nguyen Minh Hai, Diretor Técnico da Fortinet Vietnã, disse que, dependendo da gravidade do ataque, da capacidade de preparação antecipada e da eficácia do plano de resposta, o tempo necessário para recuperar o sistema após um ataque de ransomware pode variar muito, de algumas horas a várias semanas para recuperação total, especialmente em casos em que uma grande quantidade de dados precisa ser recuperada.

“Parte desse processo de recuperação inclui garantir que o malware de criptografia de dados tenha sido completamente removido da rede e que nenhum backdoor tenha sido deixado para trás, o que poderia permitir que invasores recuperassem o acesso”, disse Nguyen Minh Hai.

Especialistas também comentaram que, além de ser um "chamado de atenção" para as unidades que gerenciam e operam sistemas de informação importantes no Vietnã, o ataque cibernético ao VNDIRECT também mostrou mais uma vez o nível de perigo do ransomware.

Mais de 6 anos atrás, o WannaCry e suas variantes de malware de criptografia de dados fizeram com que muitas empresas e organizações "lutassem", quando se espalharam rapidamente para mais de 300.000 computadores em quase 100 países e territórios ao redor do mundo , incluindo o Vietnã.

Nos últimos anos, as empresas sempre se preocuparam com ataques de ransomware. No ano passado, o ciberespaço do Vietnã registrou muitos ataques de ransomware com consequências graves; houve casos em que hackers não apenas criptografaram dados para exigir resgate, mas também os venderam a terceiros para maximizar o valor arrecadado. De acordo com estatísticas do NCS, em 2023, até 83.000 computadores e servidores no Vietnã foram registrados como tendo sido atacados por ransomware.

'Caminhos' comuns para penetração no sistema

A equipe de tecnologia da VNDIRECT está trabalhando com especialistas em segurança da informação para implementar soluções que restaurem completamente e garantam a segurança do sistema. A causa do incidente e o "caminho" que os hackers usaram para invadir o sistema ainda estão sob investigação.

De acordo com o Sr. Ngo Tuan Anh, CEO da SCS Smart Network Security Company, para atacar a criptografia de dados, os hackers frequentemente optam por invadir o servidor que contém dados importantes e criptografá-los. Existem duas maneiras que os hackers costumam usar para invadir o sistema de unidades: diretamente através das vulnerabilidades e fraquezas do sistema do servidor; ou optar por "contornar" o computador do administrador e, a partir daí, assumir o controle do sistema.

Adivinhação de senhas e exploração de vulnerabilidades de dia zero são dois "caminhos" que hackers costumam usar para invadir sistemas, a partir dos quais criptografam dados para chantagem. Foto ilustrativa: zephyr_p/Fotolia

Em conversa com o VietNamNet , o Sr. Vu The Hai, chefe do Departamento de Monitoramento de Segurança da Informação da VSEC Company, também destacou algumas possibilidades para hackers se infiltrarem e instalarem malware no sistema: explorar vulnerabilidades existentes no sistema para assumir o controle, instalar malware; enviar e-mails com arquivos anexados contendo malware para enganar usuários no sistema aberto, ativar malware; fazer login no sistema a partir de senhas vazadas ou senhas fracas de usuários do sistema.

O especialista Vu Ngoc Son analisou que, em ataques de ransomware, os hackers geralmente entram no sistema por diversas maneiras, como exploração de senhas e vulnerabilidades do sistema, principalmente vulnerabilidades de dia zero (vulnerabilidades que o fabricante ainda não corrigiu - PV).

As empresas financeiras geralmente precisam atender a padrões regulatórios, então a possibilidade de descoberta de senhas é quase impossível. A possibilidade mais provável é um ataque por meio de uma vulnerabilidade de dia zero. Consequentemente, os hackers enviam remotamente segmentos de dados causadores de erros que fazem com que o software entre em um estado descontrolado durante o processamento.

Em seguida, o hacker executa código remotamente e assume o controle do servidor de serviço. A partir desse servidor, o hacker continua coletando informações, usa as contas administrativas obtidas para atacar outros servidores na rede e, por fim, executa ferramentas de criptografia de dados para extorsão", analisou o especialista Vu Ngoc Son.

Uma nova pesquisa realizada pela empresa de segurança Fortinet com empresas na região da Ásia- Pacífico , incluindo o Vietnã, mostra que: O ransomware ainda é uma grande preocupação. A extorsão por meio de ataques de ransomware é a principal preocupação em segurança cibernética para os fabricantes, com 36% das organizações pesquisadas relatando ter sofrido um ataque de ransomware no ano passado, um aumento de 23% em relação à pesquisa semelhante da Fortinet em 2020.

Lição 2 - Especialistas mostram como responder a ataques de ransomware

15 de abril é o prazo final para que as empresas de valores mobiliários concluam a revisão e avaliação da segurança da informação e implementem medidas para superar riscos e fraquezas dos sistemas, incluindo sistemas que atendem transações de valores mobiliários on-line.