Опубликован отчет об анализе программы-вымогателя LockBit 3.0.

В период с 24 марта по первую неделю апреля этого года в киберпространстве Вьетнама произошла серия целенаправленных атак программ-вымогателей, направленных на крупные вьетнамские компании, работающие в таких критически важных секторах, как финансы, ценные бумаги, энергетика и телекоммуникации. Эти атаки привели к временным сбоям в работе систем, повлекшим за собой значительные экономические потери и ущерб репутации пострадавших организаций.

В ходе анализа и расследования причин и групп, недавно атаковавших информационные системы вьетнамских компаний, власти установили, что эти инциденты являются «продуктом» различных групп, таких как LockBit, BlackCat, Mallox и др. В частности, что касается атаки программы-вымогателя на систему VNDIRECT в 10:00 утра 24 марта, в результате которой были зашифрованы все данные компании, входящей в тройку лидеров вьетнамской фондовой биржи, власти идентифицировали LockBit и ее вредоносную программу LockBit 3.0 как виновников.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Национальный центр кибербезопасности, отдел А05 ( Министерство общественной безопасности ) подтвердил, что атака на систему компании VNDIRECT в марте 2024 года была осуществлена ​​с помощью LockBit 3.0.

В глобальном масштабе группа LockBit совершила множество атак с использованием программ-вымогателей, направленных на крупные предприятия и организации. Например, в июне и октябре 2023 года эта печально известная группа, занимающаяся программами-вымогателями, атаковала производителя полупроводников TSMC (Тайвань, Китай) и компанию по производству ИТ-продуктов и услуг CDW, требуя от этих предприятий выкуп в размере до 70-80 миллионов долларов.

С целью помочь ведомствам, организациям и предприятиям во Вьетнаме лучше понять уровень опасности и способы предотвращения и смягчения рисков, связанных с атаками программ-вымогателей в целом, а также атаками группы LockBit в частности, Национальный центр мониторинга кибербезопасности (НКБК) при Министерстве информационной безопасности (Министерство информации и коммуникаций) собрал информацию из онлайн-источников и опубликовал «Аналитический отчет о программе-вымогателе LockBit 3.0».

Самая опасная в мире группа, занимающаяся распространением программ-вымогателей.

Новый отчет Национального центра кибербезопасности (NCSC) посвящен четырем основным пунктам, включая: информацию о группе, использующей программу-вымогатель LockBit; активные кластеры LockBit; список зарегистрированных индикаторов кибератак, связанных с LockBit 3.0; и методы предотвращения и смягчения рисков, связанных с атаками программ-вымогателей.

В отчете NCSC, назвав LockBit одной из ведущих мировых групп, занимающихся распространением программ-вымогателей, также отмечается, что с момента своего появления в 2019 году LockBit совершила множество атак, направленных на предприятия и организации в различных секторах. Группа работает по модели «программы-вымогатели как услуга (RaaS)», позволяя злоумышленникам развертывать программы-вымогатели и делиться прибылью с теми, кто предоставляет эту услугу.

ransomware lockbit.jpg
По мнению экспертов, LockBit — одна из самых опасных группировок, занимающихся распространением программ-вымогателей в мире. (Иллюстрация: Bkav)

Примечательно, что в сентябре 2022 года исходный код LockBit 3.0, включая несколько имен, которые могли быть использованы для разработки этого вируса-вымогателя, был опубликован пользователем под ником 'ali_qushji' на платформе X (ранее Twitter). Эта утечка позволила экспертам более тщательно проанализировать вирус-вымогатель LockBit 3.0, но с тех пор злоумышленники создали волну новых вариантов вирусов-вымогателей на основе исходного кода LockBit 3.0.

Помимо анализа методов атак активных кластеров программ-вымогателей LockBit, таких как TronBit, CriptomanGizmo и Tina Turnet, отчет NCSC также предоставляет соответствующим ведомствам список зарегистрированных индикаторов IOC (интеллектуальных оперативных преступлений), связанных с LockBit 3.0. «Мы будем постоянно обновлять индикаторы IOC на странице alert.khonggianmang.vn национального портала кибербезопасности», — заявил эксперт NCSC.

Особенно важным разделом «Отчета об анализе программ-вымогателей LockBit 3.0» являются рекомендации для ведомств, организаций и предприятий по предотвращению и снижению рисков, связанных с атаками программ-вымогателей. Важные рекомендации для поддержки вьетнамских организаций в предотвращении атак программ-вымогателей и реагировании на них, изложенные Департаментом кибербезопасности в «Руководстве по мерам предотвращения и снижения рисков от атак программ-вымогателей», опубликованном 6 апреля, продолжают рекомендоваться экспертам NCSC для внедрения.

W-phong-chong-tan-cong-ransomware-1.jpg
Непрерывный мониторинг для раннего обнаружения вторжений в систему — одна из девяти мер, которые Агентство по кибербезопасности рекомендует организациям внедрять для предотвращения атак программ-вымогателей. (Иллюстрация: Кхань Линь)

По мнению экспертов, современные атаки программ-вымогателей часто начинаются с уязвимостей в системе безопасности организации. Злоумышленники проникают в систему, поддерживают свое присутствие, расширяют сферу своего влияния, контролируют ИТ-инфраструктуру организации и парализуют систему с целью заставить организации-жертвы заплатить выкуп за восстановление зашифрованных данных.

В беседе с корреспондентами VietNamNet через пять дней после атаки на систему VNDIRECT представитель Департамента информационной безопасности, выступая от имени подразделения, координирующего реагирование на инцидент, заявил: «Этот инцидент является важным уроком для повышения осведомленности о кибербезопасности среди организаций и предприятий во Вьетнаме».

Поэтому ведомствам, организациям и предприятиям, особенно тем, которые работают в критически важных секторах, таких как финансы, банковское дело, ценные бумаги, энергетика и телекоммуникации, необходимо в срочном порядке и заблаговременно пересмотреть и укрепить как существующие системы безопасности, так и персонал, а также разработать планы реагирования на инциденты.

«Организации должны строго соблюдать изданные правила, требования и рекомендации по информационной безопасности и кибербезопасности. Защита себя и своих клиентов от потенциальных угроз кибератак — это ответственность каждой организации и предприятия», — подчеркнул представитель Департамента информационной безопасности.

Первоначально программа-вымогатель LockBit была известна как ABCD, по названию расширения зашифрованного файла, а через несколько месяцев появился вариант ABCD под текущим названием Lockbit. Год спустя группа выпустила обновленную версию, LockBit 2.0 (также известную как LockBit Red), которая включала в себя еще одно встроенное вредоносное ПО под названием StealBit, предназначенное для кражи конфиденциальных данных. LockBit 3.0, или LockBit Black, — это последняя версия, выпущенная в 2022 году, с новыми функциями и усовершенствованными методами обхода защиты.
Почему система PVOIL смогла так быстро восстановиться после атаки программы-вымогателя?

Почему система PVOIL смогла так быстро восстановиться после атаки программы-вымогателя?

Помимо относительно небольшого размера системы, решающим фактором, позволившим PVOIL быстро устранить атаку программы-вымогателя и восстановить работу системы всего за несколько дней, стали резервные копии данных.
Развивайте культуру безопасности для усиления защиты от атак программ-вымогателей.

Развивайте культуру безопасности для усиления защиты от атак программ-вымогателей.

По данным CDNetworks Vietnam, инвестиции в обучение сотрудников, формирование культуры безопасности и содействие сотрудничеству между сотрудниками и группами безопасности позволяют компаниям повысить свою защиту от кибератак, включая атаки программ-вымогателей.
Выплата выкупа за данные подтолкнет хакеров к увеличению числа атак с использованием программ-вымогателей.

Выплата выкупа за данные подтолкнет хакеров к увеличению числа атак с использованием программ-вымогателей.

Эксперты сходятся во мнении, что организации, пострадавшие от атак программ-вымогателей, не должны платить выкуп хакерам. Это подтолкнет хакеров к атакам на другие цели или к повторным атакам на системы организации со стороны других хакерских групп.