Насколько опасен вирус-вымогатель Lockbit 3.0, атакующий VNDIRECT?

Вышел отчет по анализу вируса-вымогателя LockBit 3.0

В течение 3 недель с 24 марта по первую неделю апреля этого года в киберпространстве Вьетнама были зафиксированы последовательные целевые атаки с использованием программ-вымогателей на крупные вьетнамские предприятия, работающие в таких важных сферах, как финансы, ценные бумаги, энергетика, телекоммуникации и т. д. Эти атаки привели к временной приостановке работы систем предприятий, что нанесло значительный экономический и репутационный ущерб подразделениям, чьи системы стали мишенью киберпреступных группировок.

В процессе анализа и расследования причин и групп субъектов, которые недавно атаковали информационные системы вьетнамских предприятий, власти обнаружили, что эти инциденты были «продуктами» многих различных групп атак, таких как LockBit, BlackCat, Mallox... В частности, в связи с атакой с целью вымогательства на систему VNDIRECT в 10:00 утра 24 марта, в результате которой были зашифрованы все данные предприятий, входящих в первую тройку вьетнамского фондового рынка, власти идентифицировали группу LockBit с вредоносным ПО LockBit 3.0 как стоящих за этим инцидентом.

Группа LockBit запустила множество атак с использованием программ-вымогателей по всему миру , направленных на крупные компании и организации. Например, в июне и октябре 2023 года эта печально известная группа атаковала компанию по производству полупроводников TSMC (Тайвань, Китай) и компанию по производству информационных технологий и услуг CDW соответственно. Сумма выкупа, которую Lockbit потребовала от компаний, достигала 70–80 миллионов долларов США.

Желая помочь агентствам, организациям и предприятиям во Вьетнаме лучше понять уровень опасности, а также способы предотвращения и минимизации рисков от атак программ-вымогателей в целом, а также атак группы LockBit, Национальный центр мониторинга кибербезопасности (NCSC) при Департаменте информационной безопасности (Министерство информации и коммуникаций) только что обобщил источники информации о киберпространстве и выпустил «Аналитический отчет о программе-вымогателе LockBit 3.0».

Самая опасная в мире группа вирусов-вымогателей

В новом отчете, подготовленном NCSC, основное внимание уделяется предоставлению четырех основных материалов, включая: информацию об атакующей группе программ-вымогателей LockBit; активные кластеры LockBit; список зарегистрированных индикаторов кибератак, связанных с LockBit 3.0; способы предотвращения и минимизации рисков от атак программ-вымогателей.

В отчёте NCSC LockBit названа одной из самых опасных группировок, занимающихся разработкой программ-вымогателей, и говорится, что с момента своего первого появления в 2019 году LockBit осуществила множество атак, нацеленных на предприятия и организации различных секторов. Группировка действует по модели «программы-вымогатели как услуга» (RaaS), что позволяет злоумышленникам внедрять программы-вымогатели и делиться прибылью с теми, кто стоит за этой услугой.

Примечательно, что в сентябре 2022 года исходный код LockBit 3.0, включая некоторые имена, которые могли быть использованы для разработки этого вируса-вымогателя, был опубликован пользователем под ником ali_qushji на платформе X (ранее Twitter). Утечка позволила экспертам провести более глубокий анализ образца вируса-вымогателя LockBit 3.0, но с тех пор злоумышленники создали множество новых вариантов программ-вымогателей, основанных на исходном коде LockBit 3.0.

Помимо анализа методов атак активных кластеров программ-вымогателей LockBit, таких как TronBit, CriptomanGizmo и Tina Turnet, в отчёте NCSC также представлен список зарегистрированных индикаторов кибератак, связанных с LockBit 3.0. «Мы будем постоянно обновлять информацию о показателях IOC на странице alert.khonggianmang.vn национального портала киберпространства», — заявил эксперт NCSC.

Особое внимание в «Отчёте об анализе программ-вымогателей LockBit 3.0» уделяется содержанию, содержащему рекомендации для агентств, организаций и предприятий по предотвращению и минимизации рисков, связанных с атаками программ-вымогателей. Важные рекомендации для поддержки подразделений во Вьетнаме по предотвращению и реагированию на атаки программ-вымогателей были упомянуты Департаментом информационной безопасности в «Руководстве по некоторым мерам по предотвращению и минимизации рисков, связанных с атаками программ-вымогателей», опубликованном 6 апреля, и продолжают рекомендоваться к применению экспертами NCSC.

По мнению экспертов, атаки программ-вымогателей сегодня часто начинаются с уязвимостей системы безопасности агентства или организации. Злоумышленники проникают в систему, сохраняют присутствие, расширяют масштабы вторжения, контролируют IT-инфраструктуру организации и парализуют её работу, чтобы заставить организации, ставшие жертвами атаки, заплатить выкуп за восстановление зашифрованных данных.

Представитель Департамента информационной безопасности, комментируя произошедшую 5 дней назад атаку на систему VNDIRECT, заявил журналистам VietNamNet : «Этот инцидент является важным уроком для повышения осведомленности о безопасности сетей и защищенности организаций и предприятий во Вьетнаме».

Поэтому агентствам, организациям и предприятиям, особенно тем, которые работают в таких важных областях, как финансы, банковское дело, ценные бумаги, энергетика, телекоммуникации и т. д., необходимо срочно и заблаговременно пересмотреть и укрепить как существующие системы безопасности, так и профессиональный персонал, и одновременно разработать планы реагирования на инциденты.

«Организации должны строго соблюдать установленные правила, требования и рекомендации по информационной безопасности и сетевой безопасности. Это обязанность каждой организации и предприятия — защитить себя и своих клиентов от потенциальных кибератак», — подчеркнул представитель Департамента информационной безопасности.

Почему система PVOIL может быстро восстановиться после атаки программ-вымогателей?

Помимо небольшого размера системы, важным фактором, позволяющим PVOIL быстро устранить атаку вируса-вымогателя и восстановить работу системы уже через несколько дней, является наличие резервных копий данных.

Формирование культуры безопасности для повышения защиты от атак программ-вымогателей

По данным CDNetworks Vietnam, инвестируя в обучение сотрудников, формируя культуру безопасности и поощряя сотрудничество между сотрудниками и службой безопасности, компании могут повысить свою защиту от кибератак, включая атаки программ-вымогателей.

Выплата выкупа подтолкнет хакеров к увеличению числа атак с использованием программ-вымогателей

Эксперты сходятся во мнении, что организациям, подвергшимся атаке программ-вымогателей, не следует платить выкуп хакерам. Это может побудить хакеров атаковать другие цели или побудить другие хакерские группы продолжать атаковать их системы.