Cât de periculos este ransomware-ul Lockbit 3.0 care atacă VNDIRECT?

Raportul de analiză al ransomware-ului LockBit 3.0 a fost publicat

În cele 3 săptămâni, din perioada 24 martie - prima săptămână a lunii aprilie a acestui an, spațiul cibernetic al Vietnamului a înregistrat atacuri consecutive țintite sub formă de ransomware asupra unor mari întreprinderi vietnameze care operează în domenii importante precum finanțe, valori mobiliare, energie, telecomunicații... Aceste atacuri au cauzat suspendarea sistemelor întreprinderilor pentru o perioadă de timp, ducând la daune economice și reputaționale semnificative pentru unitățile ale căror sisteme au fost vizate de grupurile infracționale cibernetice.

În timpul procesului de analiză și investigare a cauzelor și grupurilor de subiecți care au atacat recent sistemele informatice ale întreprinderilor vietnameze, autoritățile au descoperit că aceste incidente au fost „produsele” multor grupuri de atac diferite, cum ar fi LockBit, BlackCat, Mallox... În special, în cazul atacului ransomware asupra sistemului VNDIRECT de la ora 10:00, pe 24 martie, care a criptat toate datele întreprinderilor din top 3 ale pieței bursiere vietnameze, autoritățile au identificat grupul LockBit cu malware-ul LockBit 3.0 ca fiind în spatele acestui incident.

În întreaga lume , grupul LockBit a lansat numeroase atacuri ransomware care au vizat companii și organizații mari. De exemplu, în iunie și, respectiv, octombrie 2023, acest grup ransomware notoriu a atacat compania producătoare de semiconductori TSMC (Taiwan, China) și compania de produse și servicii din tehnologia informației CDW, suma răscumpărării pe care grupul LockBit a cerut-o companiilor să o plătească ajungând la 70-80 de milioane de dolari.

Din dorința de a ajuta agențiile, organizațiile și companiile din Vietnam să înțeleagă mai bine nivelul de pericol și cum să prevină și să minimizeze riscurile generate de atacurile ransomware în general, precum și de atacurile grupului LockBit, Centrul Național de Monitorizare a Securității Cibernetice - NCSC din cadrul Departamentului de Securitate Informațională (Ministerul Informațiilor și Comunicațiilor) tocmai a sintetizat surse de informații despre spațiul cibernetic și a publicat „Raportul de analiză privind ransomware-ul LockBit 3.0”.

Cel mai periculos grup de ransomware din lume

Noul raport realizat de NCSC se concentrează pe furnizarea a 4 aspecte principale, inclusiv: informații despre grupul de atac ransomware LockBit; clustere LockBit active; lista indicatorilor de atac cibernetic înregistrați legați de LockBit 3.0; cum să preveniți și să minimizați riscurile asociate atacurilor ransomware.

Desemnând LockBit drept unul dintre cele mai periculoase grupuri ransomware din lume, raportul NCSC a mai precizat că, de la prima sa apariție în 2019, LockBit a efectuat numeroase atacuri care au vizat companii și organizații din diverse sectoare. Grupul operează sub un model „Ransomware-as-a-Service (RaaS)”, permițând actorilor amenințători să implementeze ransomware și să împartă profiturile cu cei din spatele serviciului.

În special, în septembrie 2022, codul sursă al LockBit 3.0, inclusiv unele dintre numele care ar putea fi folosite pentru a dezvolta acest ransomware, a fost divulgat de o persoană numită „ali_qushji” pe platforma X (fosta Twitter). Scurgerea a permis experților să analizeze în continuare eșantionul de ransomware LockBit 3.0, dar de atunci, actorii amenințători au creat un val de noi variante de ransomware bazate pe codul sursă al LockBit 3.0.

Pe lângă analiza metodelor de atac ale clusterelor active de ransomware LockBit, cum ar fi TronBit, CriptomanGizmo sau Tina Turner, raportul NCSC oferă unităților și o listă de indicatori de atac cibernetic înregistrați, legați de LockBit 3.0. „Vom actualiza continuu informațiile despre indicatorii IOC pe pagina alert.khonggianmang.vn a portalului național al spațiului cibernetic”, a declarat un expert NCSC.

O parte deosebit de importantă menționată în „Raportul de analiză a ransomware-ului LockBit 3.0” este conținutul care ghidează agențiile, organizațiile și întreprinderile cu privire la modul de prevenire și minimizare a riscurilor generate de atacurile ransomware. Note importante pentru sprijinirea unităților din Vietnam în prevenirea și răspunsul la atacurile ransomware au fost menționate de Departamentul pentru Securitatea Informațiilor în „Manualul privind unele măsuri de prevenire și minimizare a riscurilor generate de atacurile ransomware”, publicat pe 6 aprilie, și continuă să fie recomandate spre implementare de către experții NCSC.

Potrivit experților, atacurile ransomware din ziua de azi pornesc adesea de la o vulnerabilitate de securitate a unei agenții sau organizații. Atacatorii pătrund în sistem, își mențin prezența, extind aria de acoperire a intruziunilor, controlează infrastructura IT a organizației și paralizează sistemul, cu scopul de a forța organizațiile victime reale să plătească o răscumpărare dacă doresc să recupereze datele criptate.

Împărtășind cu reporterii VietNamNet , la momentul atacului asupra sistemului VNDIRECT, acum 5 zile, din perspectiva unității care participa la coordonarea activităților de sprijin pentru răspunsul la incidente, un reprezentant al Departamentului pentru Securitatea Informațiilor a comentat: „Acest incident este o lecție importantă pentru creșterea gradului de conștientizare cu privire la siguranța și securitatea rețelelor organizațiilor și companiilor din Vietnam.”

Prin urmare, agențiile, organizațiile și întreprinderile, în special cele care operează în domenii importante precum finanțele, sistemul bancar, valorile mobiliare, energia, telecomunicațiile etc., trebuie să revizuiască și să consolideze urgent și proactiv atât sistemele de securitate existente, cât și personalul profesionist și, în același timp, să dezvolte planuri de răspuns la incidente.

„Organizațiile trebuie să respecte cu strictețe reglementările, cerințele și directivele emise privind securitatea informațiilor și securitatea rețelelor. Este responsabilitatea fiecărei organizații și întreprinderi să se protejeze pe sine și pe clienții săi de potențiale atacuri cibernetice”, a subliniat un reprezentant al Departamentului de Securitate a Informațiilor.

De ce se poate recupera rapid sistemul PVOIL după un atac ransomware?

Pe lângă dimensiunea nu prea mare a sistemului, un factor important pentru ca PVOIL să remedieze rapid atacul ransomware și să restabilească operațiunile după doar câteva zile este datorită datelor de rezervă.

Formarea unei culturi de securitate pentru a spori apărarea împotriva atacurilor ransomware

Potrivit CDNetworks Vietnam, prin investiții în instruirea angajaților, formarea unei culturi de securitate și promovarea cooperării dintre resursele umane și echipele de securitate, companiile își pot spori apărarea împotriva atacurilor cibernetice, inclusiv a atacurilor ransomware.

Plata răscumpărărilor pentru date va încuraja hackerii să intensifice atacurile ransomware

Experții sunt de acord că organizațiile care sunt atacate de ransomware nu ar trebui să plătească răscumpărare hackerilor. Acest lucru va încuraja hackerii să atace alte ținte sau va încuraja alte grupuri de hackeri să continue să atace propriile sisteme.