Quão perigoso é o ransomware Lockbit 3.0 que ataca o VNDIRECT?

Relatório de análise do ransomware LockBit 3.0 divulgado

Durante as 3 semanas de 24 de março até a primeira semana de abril deste ano, o ciberespaço do Vietnã registrou ataques direcionados consecutivos na forma de ransomware contra grandes empresas vietnamitas que operam em áreas importantes como finanças, valores mobiliários, energia, telecomunicações, etc. Esses ataques fizeram com que os sistemas das empresas fossem suspensos por um período de tempo, causando danos econômicos e de reputação significativos às unidades cujos sistemas foram alvos de grupos criminosos cibernéticos.

Durante o processo de análise e investigação das causas e grupos de indivíduos que atacaram recentemente os sistemas de informação de empresas vietnamitas, as autoridades descobriram que esses incidentes foram "produtos" de muitos grupos de ataque diferentes, como LockBit, BlackCat, Mallox... Em particular, com o ataque de ransomware ao sistema VNDIRECT às 10h do dia 24 de março, que criptografou todos os dados de empresas no top 3 do mercado de ações vietnamita, as autoridades identificaram o grupo LockBit com o malware LockBit 3.0 como estando por trás desse incidente.

Em todo o mundo , o grupo LockBit lançou diversos ataques de ransomware visando grandes empresas e organizações. Por exemplo, em junho e outubro de 2023, respectivamente, esse notório grupo de ransomware atacou a empresa de fabricação de semicondutores TSMC (Taiwan, China) e a empresa de produtos e serviços de tecnologia da informação CDW, com um resgate de dados que o grupo LockBit exigiu que as empresas pagassem entre US$ 70 e US$ 80 milhões.

Com o desejo de ajudar agências, organizações e empresas no Vietnã a entender melhor o nível de perigo e como prevenir e minimizar os riscos de ataques de ransomware em geral, bem como ataques do grupo LockBit, o Centro Nacional de Monitoramento de Segurança Cibernética - NCSC, do Departamento de Segurança da Informação (Ministério da Informação e Comunicações), acaba de sintetizar fontes de informação sobre o ciberespaço e lançar o 'Relatório de Análise sobre o ransomware LockBit 3.0'.

O grupo de ransomware mais perigoso do mundo

O novo relatório conduzido pelo NCSC se concentra em fornecer quatro conteúdos principais, incluindo: Informações sobre o grupo de ataque de ransomware LockBit; Clusters ativos do LockBit; Lista de indicadores de ataques cibernéticos registrados relacionados ao LockBit 3.0; Como prevenir e minimizar riscos de ataques de ransomware.

Identificando o LockBit como um dos grupos de ransomware mais perigosos do mundo, o relatório do NCSC também afirma que, desde sua primeira aparição em 2019, o LockBit realizou inúmeros ataques visando empresas e organizações de diversos setores. O grupo opera sob o modelo de "Ransomware como Serviço (RaaS)", permitindo que os agentes de ameaças implantem ransomware e compartilhem os lucros com os responsáveis ​​pelo serviço.

Notavelmente, em setembro de 2022, o código-fonte do LockBit 3.0, incluindo alguns dos nomes que poderiam ser usados ​​para desenvolver este ransomware, foi vazado por um indivíduo chamado "ali_qushji" na plataforma X (antigo Twitter). O vazamento permitiu que especialistas analisassem mais a fundo a amostra do ransomware LockBit 3.0, mas, desde então, os cibercriminosos criaram uma onda de novas variantes de ransomware baseadas no código-fonte do LockBit 3.0.

Além de analisar os métodos de ataque de clusters ativos de ransomware LockBit, como TronBit, CriptomanGizmo ou Tina Turnet, o relatório do NCSC também fornece às unidades uma lista de indicadores de ataques cibernéticos relacionados ao LockBit 3.0 que foram registrados. "Atualizaremos continuamente as informações sobre os indicadores do IOC na página alert.khonggianmang.vn do portal nacional do ciberespaço", afirmou um especialista do NCSC.

Uma parte particularmente importante mencionada no "Relatório de Análise de Ransomware LockBit 3.0" é o conteúdo que orienta agências, organizações e empresas sobre como prevenir e minimizar os riscos de ataques de ransomware. O Departamento de Segurança da Informação mencionou notas importantes para apoiar as unidades no Vietnã na prevenção e resposta a ataques de ransomware no "Manual sobre algumas medidas para prevenir e minimizar os riscos de ataques de ransomware", divulgado em 6 de abril, e continua sendo recomendado para implementação pelos especialistas do NCSC.

Segundo especialistas, os ataques de ransomware hoje em dia geralmente partem de uma falha de segurança de uma agência ou organização. Os invasores penetram no sistema, mantêm sua presença, expandem o escopo da intrusão, controlam a infraestrutura de TI da organização e paralisam o sistema, com o objetivo de forçar as organizações vítimas reais a pagar um resgate se quiserem recuperar dados criptografados.

Compartilhando com repórteres do VietNamNet o momento em que o ataque ao sistema VNDIRECT ocorreu há 5 dias, da perspectiva da unidade que participava da coordenação das atividades de suporte de resposta a incidentes, um representante do Departamento de Segurança da Informação comentou: Este incidente é uma lição importante para aumentar a conscientização sobre a segurança de rede e a proteção de organizações e empresas no Vietnã.

Portanto, agências, organizações e empresas, especialmente aquelas que operam em áreas importantes como finanças, bancos, valores mobiliários, energia, telecomunicações, etc., precisam revisar e fortalecer urgentemente e proativamente os sistemas de segurança existentes e o pessoal profissional e, ao mesmo tempo, desenvolver planos de resposta a incidentes.

“As organizações precisam cumprir rigorosamente os regulamentos, requisitos e diretrizes sobre segurança da informação e segurança de rede emitidos. É responsabilidade de cada organização e empresa proteger a si mesma e a seus clientes de potenciais ataques cibernéticos”, enfatizou um representante do Departamento de Segurança da Informação.

Por que o sistema PVOIL pode se recuperar rapidamente após um ataque de ransomware?

Além do tamanho não tão grande do sistema, um fator importante para a PVOIL corrigir rapidamente o ataque de ransomware e restaurar as operações após apenas alguns dias é graças aos dados de backup.

Formando uma cultura de segurança para aumentar as defesas contra ataques de ransomware

De acordo com a CDNetworks Vietnam, ao investir no treinamento de funcionários, formar uma cultura de segurança e promover a cooperação entre funcionários e a equipe de segurança, as empresas podem aumentar suas defesas contra ataques cibernéticos, incluindo ataques de ransomware.

O pagamento de resgates incentivará os hackers a aumentar os ataques de ransomware

Especialistas concordam que organizações atacadas por ransomware não devem pagar o resgate aos hackers. Isso incentivará os hackers a atacar outros alvos ou a incentivar outros grupos de hackers a continuar atacando seus sistemas.