Publicarea raportului de analiză a ransomware-ului LockBit 3.0.

Între 24 martie și prima săptămână a lunii aprilie a acestui an, spațiul cibernetic al Vietnamului a fost martorul unei serii de atacuri ransomware direcționate care au vizat mari companii vietnameze care operează în sectoare critice precum finanțele, valorile mobiliare, energia și telecomunicațiile. Aceste atacuri au cauzat perturbări ale sistemului pentru o perioadă de timp, rezultând pierderi economice semnificative și daune aduse reputației entităților vizate.

Prin procesul de analiză și investigare a cauzelor și grupurilor care au atacat recent sistemele informatice ale companiilor vietnameze, autoritățile au descoperit că aceste incidente sunt „produsele” diferitelor grupuri de atac, cum ar fi LockBit, BlackCat, Mallox etc. În special, în ceea ce privește atacul ransomware asupra sistemului VNDIRECT, efectuat la ora 10:00, pe 24 martie, care a criptat toate datele unei companii clasate printre primele 3 pe piața bursieră vietnameză, autoritățile au identificat LockBit și malware-ul său LockBit 3.0 ca fiind autorii acestuia.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Centrul Național de Securitate Cibernetică, Departamentul A05 ( Ministerul Securității Publice ) a confirmat că atacul asupra sistemului companiei de valori mobiliare VNDIRECT din martie 2024 a fost efectuat de LockBit 3.0.

La nivel global , grupul LockBit a lansat numeroase atacuri ransomware care au vizat companii și organizații mari. De exemplu, în iunie și octombrie 2023, acest grup ransomware notoriu a atacat producătorul de semiconductori TSMC (Taiwan, China) și compania de produse și servicii IT CDW, cerând răscumpărări de până la 70-80 de milioane de dolari de la aceste companii.

Cu scopul de a ajuta agențiile, organizațiile și companiile din Vietnam să înțeleagă mai bine nivelul de pericol și cum să prevină și să atenueze riscurile reprezentate de atacurile ransomware în general, precum și de atacurile grupului LockBit în special, Centrul Național de Monitorizare a Securității Cibernetice - NCSC din cadrul Departamentului pentru Securitatea Informațiilor (Ministerul Informațiilor și Comunicațiilor) a compilat informații din surse online și a publicat „Raportul de analiză privind ransomware-ul LockBit 3.0”.

Cel mai periculos grup de ransomware din lume.

Noul raport al NCSC se concentrează pe patru puncte principale, inclusiv: informații despre grupul de atac ransomware LockBit; clustere LockBit active; o listă a indicatorilor de atac cibernetic legați de LockBit 3.0 înregistrați; și metode de prevenire și atenuare a riscurilor generate de atacurile ransomware.

Identificând LockBit ca fiind unul dintre cele mai importante grupuri ransomware din lume, raportul NCSC a mai afirmat că, de la apariția sa inițială în 2019, LockBit a efectuat numeroase atacuri care au vizat companii și organizații din diverse sectoare. Grupul operează pe un model „Ransomware-as-a-Service (RaaS)”, permițând actorilor de amenințare să implementeze ransomware și să împartă profiturile cu cei din spatele serviciului.

ransomware lockbit.jpg
Potrivit experților, LockBit este unul dintre cele mai periculoase grupuri de ransomware din lume. (Ilustrație: Bkav)

În special, în septembrie 2022, codul sursă al LockBit 3.0, inclusiv mai multe nume care ar putea fi folosite pentru a dezvolta acest ransomware, a fost divulgat de o persoană numită „ali_qushji” pe platforma X (fosta Twitter). Această scurgere de informații a permis experților să analizeze mai îndeaproape ransomware-ul LockBit 3.0, dar de atunci, actorii amenințători au creat un val de noi variante de ransomware bazate pe codul sursă LockBit 3.0.

Pe lângă analiza metodelor de atac ale clusterelor active de ransomware LockBit, cum ar fi TronBit, CriptomanGizmo și Tina Turnet, raportul NCSC oferă agențiilor relevante și o listă a indicatorilor de atac IOC (Intelligent Operational Crime) înregistrați, legați de LockBit 3.0. „Vom actualiza continuu indicatorii IOC pe pagina alert.khonggianmang.vn a portalului național de securitate cibernetică”, a declarat un expert NCSC.

O secțiune deosebit de importantă a „Raportului de analiză a ransomware-ului LockBit 3.0” este reprezentată de îndrumările oferite agențiilor, organizațiilor și companiilor cu privire la modul de prevenire și atenuare a riscurilor generate de atacurile ransomware. Experții NCSC continuă să recomande spre implementare note importante pentru sprijinirea entităților vietnameze în prevenirea și răspunsul la atacurile ransomware, așa cum sunt subliniate de Departamentul de Securitate Cibernetică în „Manualul privind măsurile de prevenire și atenuare a riscurilor generate de atacurile ransomware”, publicat pe 6 aprilie.

W-phong-chong-tan-cong-ransomware-1.jpg
Monitorizarea continuă pentru detectarea timpurie a intruziunilor în sistem este una dintre cele nouă măsuri pe care Agenția de Securitate Cibernetică le recomandă organizațiilor să le implementeze pentru a preveni atacurile ransomware. (Ilustrație: Khanh Linh)

Potrivit experților, atacurile ransomware actuale provin adesea dintr-o vulnerabilitate de securitate din cadrul unei organizații. Atacatorii se infiltrează în sistem, își mențin prezența, își extind raza de acțiune, controlează infrastructura IT a organizației și paralizează sistemul, cu scopul de a forța organizațiile victime să plătească o răscumpărare pentru a recupera datele criptate.

Într-o declarație adresată reporterilor VietNamNet , la cinci zile după atacul asupra sistemului VNDIRECT, un reprezentant al Departamentului de Securitate a Informațiilor, vorbind din perspectiva unității care coordonează răspunsul la incident, a declarat: „Acest incident este o lecție importantă pentru creșterea gradului de conștientizare a securității cibernetice în rândul organizațiilor și companiilor din Vietnam.”

Prin urmare, agențiile, organizațiile și întreprinderile, în special cele care operează în sectoare critice precum finanțele, sistemul bancar, valorile mobiliare, energia și telecomunicațiile, trebuie să își revizuiască și să își consolideze urgent și proactiv atât sistemele de securitate existente, cât și personalul, elaborând în același timp planuri de răspuns la incidente.

„Organizațiile trebuie să respecte cu strictețe reglementările, cerințele și directivele privind securitatea informațiilor și securitatea cibernetică care au fost emise. Este responsabilitatea fiecărei organizații și companii să se protejeze pe sine și pe clienții săi de potențialele riscuri de atac cibernetic”, a subliniat un reprezentant al Departamentului de Securitate a Informațiilor.

Ransomware-ul LockBit a fost inițial cunoscut sub numele de ABCD, denumit după extensia fișierului criptat, iar după câteva luni, a apărut o variantă a ABCD sub numele său actual, Lockbit. Un an mai târziu, grupul a lansat o versiune actualizată, LockBit 2.0 (cunoscută și sub numele de LockBit Red), care includea un alt malware integrat numit StealBit, menit să fure date sensibile. LockBit 3.0, sau LockBit Black, este cea mai recentă versiune, lansată în 2022, cu funcții noi și tehnici avansate de eludare a securității.
De ce a reușit sistemul PVOIL să se recupereze atât de repede după un atac ransomware?

De ce a reușit sistemul PVOIL să se recupereze atât de repede după un atac ransomware?

Pe lângă dimensiunea relativ mică a sistemului, un factor crucial care a permis PVOIL să rezolve rapid atacul ransomware și să restabilească operațiunile în doar câteva zile a fost reprezentat de datele de rezervă.
Dezvoltați o cultură a securității pentru a consolida apărarea împotriva atacurilor ransomware.

Dezvoltați o cultură a securității pentru a consolida apărarea împotriva atacurilor ransomware.

Potrivit CDNetworks Vietnam, prin investiții în instruirea angajaților, promovarea unei culturi de securitate și promovarea colaborării dintre personal și echipele de securitate, companiile își pot îmbunătăți apărarea împotriva atacurilor cibernetice, inclusiv a atacurilor ransomware.
Plata unei recompensă pentru date va încuraja hackerii să intensifice atacurile ransomware.

Plata unei recompensă pentru date va încuraja hackerii să intensifice atacurile ransomware.

Experții sunt de acord că organizațiile afectate de atacuri ransomware nu ar trebui să plătească răscumpărarea hackerilor. Acest lucru i-ar încuraja pe hackeri să atace alte ținte sau ar încuraja alte grupuri de hackeri să atace din nou sistemele organizației.