Насколько опасен вирус-вымогатель Lockbit 3.0, атакующий VNDIRECT?

Опубликован отчет об анализе вируса-вымогателя LockBit 3.0

В течение трех недель с 24 марта по первую неделю апреля этого года в киберпространстве Вьетнама были зафиксированы последовательные целевые атаки с использованием программ-вымогателей на крупные вьетнамские предприятия, работающие в таких важных областях, как финансы, ценные бумаги, энергетика, телекоммуникации и т. д. Эти атаки привели к временной приостановке работы систем предприятий, что нанесло значительный экономический и репутационный ущерб подразделениям, чьи системы стали мишенью киберпреступных группировок.

В процессе анализа и расследования причин и групп субъектов, которые недавно атаковали информационные системы вьетнамских предприятий, власти обнаружили, что эти инциденты были «продуктами» множества различных групп атак, таких как LockBit, BlackCat, Mallox... В частности, в связи с атакой с целью вымогательства на систему VNDIRECT в 10:00 утра 24 марта, в результате которой были зашифрованы все данные предприятий, входящих в тройку крупнейших на вьетнамском фондовом рынке, власти идентифицировали группу LockBit с вредоносным ПО LockBit 3.0 как стоящую за этим инцидентом.

Во всем мире группа LockBit запустила множество атак с использованием программ-вымогателей, нацеленных на крупные предприятия и организации. Например, в 2023 году, в июне и октябре соответственно, эта печально известная группа программ-вымогателей атаковала компанию Semiconductor Manufacturing Company TSMC (Тайвань, Китай) и компанию Information Technology Products and Services Company CDW, при этом сумма выкупа за данные, которую группа Lockbit потребовала от предприятий, составила до 70–80 миллионов долларов США.

Желая помочь учреждениям, организациям и предприятиям во Вьетнаме лучше понять уровень опасности и способы предотвращения и минимизации рисков от атак программ-вымогателей в целом, а также атак группировки LockBit, Национальный центр мониторинга кибербезопасности (NCSC) при Департаменте информационной безопасности (Министерство информации и коммуникаций) только что обобщил источники информации о киберпространстве и выпустил «Аналитический отчет о программах-вымогателях LockBit 3.0».

Самая опасная в мире группа вирусов-вымогателей

В новом отчете, подготовленном NCSC, основное внимание уделяется предоставлению 4 основных материалов, включая: информацию о группе атак программ-вымогателей LockBit; активные кластеры LockBit; список зарегистрированных индикаторов кибератак, связанных с LockBit 3.0; способы предотвращения и минимизации рисков атак программ-вымогателей.

В отчете NCSC LockBit названа одной из самых опасных группировок программ-вымогателей в мире. В нем также говорится, что с момента своего первого появления в 2019 году LockBit осуществила множество атак, нацеленных на предприятия и организации в различных секторах. Группа работает по модели «программа-вымогатель как услуга (RaaS)», что позволяет злоумышленникам развертывать программы-вымогатели и делиться прибылью с теми, кто стоит за этой услугой.

Примечательно, что в сентябре 2022 года исходный код LockBit 3.0, включая некоторые имена, которые могли быть использованы для разработки этого вымогателя, был слит в сеть человеком под именем «ali_qushji» на платформе X (ранее Twitter). Утечка позволила экспертам провести дополнительный анализ образца вымогателя LockBit 3.0, но с тех пор злоумышленники создали волну новых вариантов вымогателей на основе исходного кода LockBit 3.0.

Наряду с анализом методов атак активных кластеров программ-вымогателей LockBit, таких как TronBit, CriptomanGizmo или Tina Turnet, отчет NCSC также предоставляет подразделениям список индикаторов кибератак, связанных с LockBit 3.0, которые были зарегистрированы. «Мы будем постоянно обновлять информацию об индикаторах IOC на странице alert.khonggianmang.vn национального портала киберпространства», — сказал эксперт NCSC.

Особенно важной частью, упомянутой в «Отчете об анализе программ-вымогателей LockBit 3.0», является руководство для агентств, организаций и предприятий по предотвращению и минимизации рисков атак программ-вымогателей. Важные примечания для поддержки подразделений во Вьетнаме в предотвращении и реагировании на атаки программ-вымогателей были упомянуты Департаментом информационной безопасности в «Справочнике по некоторым мерам по предотвращению и минимизации рисков атак программ-вымогателей», выпущенном 6 апреля, и продолжают рекомендоваться для внедрения экспертами NCSC.

По мнению экспертов, атаки с использованием программ-вымогателей сегодня часто начинаются с уязвимости безопасности агентства или организации. Злоумышленники проникают в систему, сохраняют присутствие, расширяют масштабы вторжения, контролируют ИТ-инфраструктуру организации и парализуют систему с целью заставить реальные организации-жертвы заплатить выкуп, если они хотят восстановить зашифрованные данные.

Представитель Департамента информационной безопасности, рассказывая журналистам VietNamNet о том, что произошло 5 дней назад, когда произошла атака на систему VNDIRECT, с точки зрения подразделения, участвующего в координации мероприятий по поддержке реагирования на инциденты, прокомментировал: «Этот инцидент является важным уроком для повышения осведомленности о безопасности сетей и защищенности организаций и предприятий во Вьетнаме».

Поэтому учреждениям, организациям и предприятиям, особенно тем, которые работают в таких важных областях, как финансы, банковское дело, ценные бумаги, энергетика, телекоммуникации и т. д., необходимо срочно и активно пересматривать и укреплять как существующие системы безопасности, так и профессиональный персонал, и одновременно разрабатывать планы реагирования на инциденты.

«Организациям необходимо строго соблюдать выпущенные правила, требования и руководства по информационной безопасности и сетевой безопасности. Это обязанность каждой организации и предприятия защищать себя и своих клиентов от потенциальных кибератак», — подчеркнул представитель Департамента информационной безопасности.

Почему система PVOIL может быстро восстановиться после атаки программ-вымогателей?

Помимо небольшого размера системы, важным фактором, позволяющим PVOIL быстро устранить атаку вируса-вымогателя и восстановить работу всего через несколько дней, является наличие резервных копий данных.

Формирование культуры безопасности для повышения защиты от атак программ-вымогателей

По данным CDNetworks Vietnam, инвестируя в обучение сотрудников, формирование культуры безопасности и содействие сотрудничеству между сотрудниками и службой безопасности, предприятия могут повысить свою защиту от кибератак, включая атаки программ-вымогателей.

Выплата выкупа подтолкнет хакеров к увеличению числа атак с использованием программ-вымогателей

Эксперты сходятся во мнении, что организации, подвергшиеся атаке программ-вымогателей, не должны платить выкуп хакерам. Это побудит хакеров атаковать другие цели или побудит другие хакерские группы продолжать атаковать их систему.