"Path"-hackare tränger in i systemet för att attackera datakryptering

Förlänger "mardrömmen" av skadlig programvara för datakryptering

Cyberattacken mot VNDIRECT-systemet, ett företag bland de tre största på den vietnamesiska aktiemarknaden, som inträffade på morgonen den 24 mars har nu i princip lösts. Uppgifterna har avkodats och söksystemet Mitt konto är tillbaka i drift.

VNDIRECT rapporterade att händelsen den 24 mars utfördes av en professionell attackgrupp, vilket ledde till att all företagsdata krypterades. Skadlig attack mot datakryptering – ransomware har alltid varit en mardröm för företag och organisationer runt om i världen de senaste åren, på grund av de allvarliga konsekvenser det kan orsaka. Experter liknar också ransomware vid en "mardröm" och ett "spöke" i cyberrymden.

Enligt den färdplan som VNDIRECT tillkännagivit till kunder och partners kommer den operativa enheten att fortsätta att gradvis öppna system, produkter och andra verktyg. Denna enhet planerar att kontrollera flödet med börserna den 28 mars.

Analysen av informationssäkerhetsexperter visar dock att de svåra dagarna för VNDIRECTs teknikteam och experter att söka efter sårbarheter och noggrant åtgärda problemet fortfarande är långa. Ransomware är inte en ny form av cyberattack, men det är mycket komplicerat och kräver mycket tid för att rensa upp data, helt återställa systemet och återställa normal drift.

”För att helt åtgärda en ransomware-attack måste ibland den operativa enheten ändra systemarkitekturen, särskilt säkerhetskopieringssystemet. Därför, med den incident som VNDIRECT står inför, tror vi att det kommer att ta längre tid, till och med månader, för systemet att återhämta sig helt”, säger NCS tekniska direktör Vu Ngoc Son.

Nguyen Minh Hai, teknisk chef för Fortinet Vietnam, sa att beroende på attackens allvarlighetsgrad, förmågan att förbereda sig i förväg och effektiviteten i responsplanen, kan den tid som krävs för att återställa systemet efter en ransomware-attack variera kraftigt, från några timmar till flera veckor för fullständig återställning, särskilt i fall där en stor mängd data behöver återställas.

"En del av återställningsprocessen inkluderar att säkerställa att skadlig programvara för datakryptering har tagits bort helt från nätverket och att inga bakdörrar har lämnats kvar som skulle kunna ge angripare åtkomst igen", sa Nguyen Minh Hai.

Experter kommenterade också att cyberattacken mot VNDIRECT, förutom att vara en "väckarklocka" för de enheter som hanterar och driver viktiga informationssystem i Vietnam, återigen visade på farligheten med ransomware.

För mer än sex år sedan orsakade WannaCry och dess varianter av datakrypteringsskadlig programvara många företag och organisationer "problem" när de snabbt spred sig till mer än 300 000 datorer i nästan 100 länder och territorier runt om i världen , inklusive Vietnam.

Under senare år har företag alltid varit oroade över ransomware-attacker. Förra året registrerades många ransomware-attacker i Vietnams cyberrymd med allvarliga konsekvenser; i dessa fall fanns det fall där hackare inte bara krypterade data för att kräva lösensumma, utan också sålde informationen till tredje part för att maximera den insamlade summan. Enligt NCS-statistik registrerades upp till 83 000 datorer och servrar i Vietnam attackerade av ransomware år 2023.

Vanliga "vägar" för att penetrera systemet

VNDIRECTs teknikteam arbetar med informationssäkerhetsexperter för att distribuera lösningar för att helt återställa systemet samtidigt som systemsäkerheten säkerställs. Orsaken till incidenten och den "väg" som hackaren använde för att tränga sig in i systemet utreds fortfarande.

Enligt Ngo Tuan Anh, VD för SCS Smart Network Security Company, väljer hackare ofta att penetrera servern som innehåller viktig data och kryptera den för att attackera datakryptering. Det finns två sätt som hackare ofta använder för att penetrera systemet, antingen direkt genom sårbarheter och svagheter i serversystemet; eller genom att "gå runt" via administratörens dator och därifrån ta kontroll över systemet.

I ett samtal med VietNamNet pekade Vu The Hai, chef för informationssäkerhetsövervakningsavdelningen på VSEC Company, också på vissa möjligheter för hackare att infiltrera och installera skadlig kod i systemet: Utnyttja befintliga sårbarheter i systemet för att ta kontroll och installera skadlig kod; skicka e-postmeddelanden med bifogade filer som innehåller skadlig kod för att lura användare i det öppna systemet, aktivera skadlig kod; logga in i systemet från läckta lösenord eller svaga lösenord från systemanvändare.

Experten Vu Ngoc Son analyserade att hackare vid ransomware-attacker ofta tar sig in i systemet på ett antal olika sätt, såsom lösenordstest och utnyttjande av systemsårbarheter, främst zero-day-sårbarheter (sårbarheter som tillverkaren ännu inte har patchat – PV).

"Finansföretag måste vanligtvis uppfylla regelverk, så möjligheten att lösenord kan upptäckas är nästan omöjlig. Den mest troliga möjligheten är en attack via en nolldagssårbarhet. Följaktligen skickar hackare felorsakande datasegment på distans som gör att programvaran hamnar i ett okontrollerat tillstånd vid bearbetning."

Därefter kör hackaren fjärrkodkörning och tar kontroll över tjänstens server. Från den här servern fortsätter hackaren att samla in information, använder de erhållna administrativa kontona för att attackera andra servrar i nätverket och kör slutligen datakrypteringsverktyg för utpressning, analyserade experten Vu Ngoc Son.

Lektion 2 - Experter visar hur man ska reagera på ransomware-attacker

Den 15 april är deadline för värdepappersbolag att slutföra granskningen och bedömningen av informationssäkerheten och implementera åtgärder för att övervinna risker och svagheter i systemen, inklusive systemet som hanterar värdepapperstransaktioner online.