VietNamNet prezintă un articol scris de dl. Dao Trung Thanh, expert în securitate cibernetică și director adjunct al Institutului Blockchain și Inteligență Artificială, pentru a înțelege atacul cibernetic de la compania VNDirect Securities și pericolele ransomware.
Ransomware-ul, un tip de malware care criptează datele de pe sistemul unei victime și cere o răscumpărare pentru a le decripta, a devenit una dintre cele mai periculoase amenințări la adresa securității cibernetice din lumea de astăzi. Foto: zephyr_p/Fotolia

Cazul VNDirect și ce face ca ransomware-ul să fie periculos?

Pe 24 martie 2024, compania VNDirect Securities din Vietnam a devenit cel mai recent punct fierbinte pe harta atacurilor ransomware internaționale. Acest atac nu este un caz izolat.

Ransomware-ul, un tip de software rău intenționat conceput pentru a cripta datele din sistemul unei victime și a cere o răscumpărare pentru a le decripta, a devenit una dintre cele mai răspândite și periculoase amenințări la adresa securității cibernetice din lumea de astăzi. Dependența tot mai mare de datele digitale și tehnologia informației în toate domeniile vieții sociale face ca organizațiile și persoanele să fie vulnerabile la aceste atacuri.

Pericolul ransomware nu constă doar în capacitatea sa de a cripta datele, ci și în modul în care se răspândește și cere răscumpărări, creând un canal de tranzacții financiare prin care hackerii pot obține profituri ilegale. Sofisticarea și imprevizibilitatea atacurilor ransomware le fac una dintre cele mai mari provocări cu care se confruntă securitatea cibernetică în prezent.

Atacul VNDirect este o reamintire puternică a importanței înțelegerii și prevenirii ransomware-ului. Numai înțelegând cum funcționează ransomware-ul și amenințarea pe care o reprezintă putem implementa măsuri eficiente de protecție, de la educarea utilizatorilor și aplicarea soluțiilor tehnice, până la construirea unei strategii de prevenție cuprinzătoare pentru a proteja datele și sistemele informatice critice.

Cum funcționează ransomware-ul

Ransomware-ul, o amenințare terifiantă în lumea securității cibernetice, operează într-un mod sofisticat și complex, provocând consecințe grave victimelor. Pentru a înțelege mai bine cum funcționează ransomware-ul, trebuie să analizăm în profunzime fiecare etapă a procesului de atac.

Infecţie

Atacul începe atunci când un ransomware infectează un sistem. Există mai multe modalități comune prin care ransomware-ul poate pătrunde în sistemul unei victime, inclusiv:

E-mailuri de phishing: E-mailuri false cu atașamente rău intenționate sau linkuri către site-uri web care conțin cod rău intenționat; Exploatarea vulnerabilităților de securitate: Profitarea vulnerabilităților software-ului neactualizat pentru a instala automat ransomware fără interacțiunea utilizatorului; Publicitate malicioasă: Utilizarea reclamelor pe internet pentru a distribui programe malware; Descărcări de pe site-uri web rău intenționate: Utilizatorii descarcă software sau conținut de pe site-uri web neîncrezătoare.

Criptare

Odată infectat, ransomware-ul începe procesul de criptare a datelor din sistemul victimei. Criptarea este procesul de conversie a datelor într-un format care nu poate fi citit fără cheia de decriptare. Ransomware-ul folosește adesea algoritmi de criptare puternici, asigurându-se că datele criptate nu pot fi recuperate fără cheia specifică.

Cererea de răscumpărare

După criptarea datelor, ransomware-ul afișează un mesaj pe ecranul victimei, cerând o răscumpărare pentru decriptarea datelor. Acest mesaj conține de obicei instrucțiuni despre cum se efectuează plata (de obicei prin Bitcoin sau alte criptomonede pentru a ascunde identitatea infractorului), precum și un termen limită pentru plată. Unele versiuni de ransomware amenință, de asemenea, că vor șterge datele sau le vor publica dacă răscumpărarea nu este plătită.

Tranzacții și decriptare (sau nu)

Victima se confruntă apoi cu o decizie dificilă: să plătească răscumpărarea și să spere să-și recupereze datele sau să refuze și să le piardă pentru totdeauna. Cu toate acestea, plata nu garantează că datele vor fi decriptate. De fapt, aceasta îi poate încuraja pe infractori să-și continue acțiunile.

Modul în care operează ransomware-ul nu demonstrează doar sofisticare tehnică, ci și o realitate tristă: disponibilitatea de a exploata credulitatea și ignoranța utilizatorilor. Acest lucru subliniază importanța creșterii gradului de conștientizare și cunoștințe privind securitatea cibernetică, de la recunoașterea e-mailurilor de phishing până la menținerea la zi a software-ului de securitate. Cu o amenințare în continuă evoluție precum ransomware-ul, educația și prevenirea sunt mai importante ca niciodată.

Variante comune de ransomware

În lumea în continuă evoluție a amenințărilor ransomware, unele variante ies în evidență prin sofisticarea, capacitatea de răspândire și impactul serios pe care îl au asupra organizațiilor din întreaga lume. Iată descrieri a șapte variante populare și modul în care funcționează acestea.

REvil (cunoscut și sub numele de Sodinokibi)

Caracteristici: REvil este o variantă a Ransomware-as-a-Service (RaaS), permițând infractorilor cibernetici să îl „închirieze” pentru a-și efectua propriile atacuri. Acest lucru crește semnificativ capacitatea ransomware-ului de a se răspândi și numărul de victime.

Metode de propagare: Distribuție prin vulnerabilități de securitate, e-mailuri de phishing și instrumente de atac la distanță. REvil folosește, de asemenea, metode de atac pentru a cripta sau fura automat datele.

Ryuk

Caracteristici: Ryuk vizează în principal organizațiile mari pentru a maximiza plățile de răscumpărare. Are capacitatea de a se personaliza pentru fiecare atac, ceea ce face dificilă detectarea și eliminarea acestuia.

Metodă de propagare: Prin intermediul e-mailurilor de phishing și al rețelelor infectate cu alte programe malware, cum ar fi Trickbot și Emotet, Ryuk răspândește și criptează datele din rețea.

Robinhood

Caracteristici: Robinhood este cunoscut pentru capacitatea sa de a ataca sistemele guvernamentale și organizațiile mari, folosind o tactică sofisticată de criptare pentru a bloca fișierele și a cere răscumpărări mari.

Metodă de propagare: Răspândire prin campanii de phishing, precum și prin exploatarea vulnerabilităților de securitate din software.

DoppelPaymer

Caracteristici: DoppelPaymer este o variantă independentă de ransomware cu capacitatea de a provoca daune grave prin criptarea datelor și amenințând cu divulgarea informațiilor dacă nu se plătește o răscumpărare.

Metodă de propagare: Propagată prin intermediul instrumentelor de atac la distanță și al e-mailurilor de phishing, vizând în special vulnerabilitățile din software-ul neactualizat.

ȘARPE (cunoscut și sub numele de EKANS)

Caracteristici: SNAKE este conceput pentru a ataca sistemele de control industrial (ICS). Nu numai că criptează datele, dar poate și perturba procesele industriale.

Metodă de propagare: Prin campanii de phishing și exploit, cu accent pe vizarea unor sisteme industriale specifice.

Fobos

Caracteristici: Phobos are multe asemănări cu Dharma, o altă variantă de ransomware, și este adesea folosit pentru a ataca întreprinderile mici prin RDP (Remote Desktop Protocol).

Metodă de propagare: În principal prin RDP expus sau vulnerabil, permițând atacatorilor să acceseze și să implementeze ransomware de la distanță.

LockBit

LockBit este o altă variantă populară de ransomware care operează sub modelul Ransomware-as-a-Service (RaaS) și este cunoscută pentru atacurile sale asupra companiilor și organizațiilor guvernamentale. LockBit își desfășoară atacurile în trei etape principale: exploatarea vulnerabilităților, penetrarea în profunzime a sistemului și implementarea sarcinii utile de criptare.

Faza 1 - Exploatare: LockBit exploatează vulnerabilitățile din rețea folosind tehnici precum ingineria socială, cum ar fi prin e-mailuri de phishing sau atacuri de forță brută asupra serverelor de intranet și a sistemelor de rețea.

Faza 2 - Infiltrare: După infiltrare, LockBit folosește un instrument „post-exploatare” pentru a-și crește nivelul de acces și a pregăti sistemul pentru atacul de criptare.

Faza 3 - Implementare: LockBit implementează sarcina utilă criptată pe fiecare dispozitiv accesibil din rețea, criptând toate fișierele de sistem și lăsând o notă de răscumpărare.

LockBit folosește, de asemenea, o serie de instrumente gratuite și open source în procesul său de intruziune, de la scanere de rețea la software de administrare la distanță, pentru a efectua recunoaștere a rețelei, acces de la distanță, furt de acreditări și exfiltrare de date. În unele cazuri, LockBit chiar amenință că va divulga datele personale ale victimei dacă cererile de răscumpărare nu sunt îndeplinite.

Cu complexitatea și capacitatea sa de a se răspândi pe scară largă, LockBit reprezintă una dintre cele mai mari amenințări din lumea ransomware modernă. Organizațiile trebuie să adopte un set cuprinzător de măsuri de securitate pentru a se proteja de acest ransomware și de variantele sale.

Dao Trung Thanh

Lecția 2: De la atacul VNDirect la strategia anti-ransomware