Den ”väg” hackare använder för att infiltrera system och utföra datakrypteringsattacker.

Förlänger "mardrömmen" med datakrypterande skadlig kod.

Cyberattacken mot VNDIRECTs system, ett företag rankat bland de tre största på den vietnamesiska aktiemarknaden, som inträffade på morgonen den 24 mars, har nu i stort sett lösts. Uppgifterna har dekrypterats och söksystemet Mitt konto är online igen.

VNDIRECT har rapporterat att händelsen den 24 mars utfördes av en professionell attackgrupp, vilket resulterade i kryptering av all företagsdata. Ransomware-attacker har varit en ständig mardröm för företag och organisationer världen över de senaste åren på grund av de allvarliga konsekvenser de kan orsaka. Experter liknar till och med ransomware vid en "mardröm" eller ett "spöke" i cyberrymden.

Enligt den färdplan som VNDIRECT har tillkännagivit till sina kunder och partners kommer systemen, produkterna och andra tjänster att fortsätta att gradvis öppnas igen. Företaget planerar att testa trafikflödet med börserna den 28 mars.

Utifrån informationssäkerhetsexperternas analys är det dock tydligt att den mödosamma resa för VNDIRECTs teknikteam och experter på sårbarhetsskanning att helt lösa incidenten fortfarande är lång. Ransomware är inte en ny form av cyberattack, men det är mycket komplext och kräver mycket tid för att rensa upp data, helt återställa systemet och återställa normal drift.

”För att helt lösa en ransomware-attack måste ibland den operativa enheten till och med ändra systemarkitekturen, särskilt säkerhetskopieringssystemet. Därför, med tanke på den incident som VNDIRECT står inför just nu, tror vi att det kommer att ta längre tid, till och med månader, för systemet att återhämta sig helt”, säger Vu Ngoc Son, teknisk chef på NCS Company.

Enligt Nguyen Minh Hai, teknisk chef för Fortinet Vietnam, kan den tid som krävs för att återställa systemet efter en ransomware-attack variera kraftigt, från några timmar till flera veckor för fullständig återställning, beroende på attackens allvarlighetsgrad, förberedelsenivån och responsplanens effektivitet, särskilt i fall som kräver återställning av en stor mängd data.

"En del av återställningsprocessen inkluderar att säkerställa att den datakrypterande skadliga programvaran har tagits bort helt från nätverket och att inga bakdörrar finns kvar som kan ge angripare åtkomst igen", informerade Nguyen Minh Hai.

Experter noterade också att cyberattacken mot VNDIRECT, förutom att fungera som en "väckarklocka" för de enheter som hanterar och driver kritiska informationssystem i Vietnam, återigen visade ransomwares farliga natur.

För mer än sex år sedan orsakade WannaCry och dess varianter betydande störningar för många företag och organisationer då de snabbt spred sig till över 300 000 datorer i nästan 100 länder och territorier världen över , inklusive Vietnam.

Under senare år har företag ständigt oroat sig för ransomware-attacker. Förra året registrerades många ransomware-attacker i Vietnams cyberrymd med allvarliga konsekvenser; i vissa fall krypterade hackare inte bara data för att kräva lösensumma, utan sålde även informationen till tredje part för att maximera sina vinster. Enligt NCS-statistik rapporterades upp till 83 000 datorer och servrar i Vietnam ha attackerats av ransomware år 2023.

Vanliga 'vägar' för infiltrerande system.

VNDIRECTs teknikteam, tillsammans med informationssäkerhetsexperter, implementerar lösningar för att helt återställa och säkra systemet. Orsaken till incidenten och den "väg" som hackarna använde för att infiltrera systemet utreds fortfarande.

Enligt Ngo Tuan Anh, VD för SCS Smart Cybersecurity Company, väljer hackare vanligtvis att infiltrera servrar som innehåller viktig data och kryptera den för att utföra datakrypteringsattacker. Det finns två vanliga metoder som hackare använder för att penetrera organisationssystem: direkt genom sårbarheter eller svagheter i serversystemet; eller genom att "kringgå" administratörens dator och därigenom få kontroll över systemet.

I ett samtal med VietNamNet pekade Vu The Hai, chef för informationssäkerhetsövervakningsavdelningen på VSEC Company, också på flera möjligheter för hackare att infiltrera och installera skadlig kod i system: Utnyttja befintliga sårbarheter i systemet för att få kontroll och installera skadlig kod; skicka e-postmeddelanden med bifogade filer som innehåller skadlig kod för att lura användare att öppna och aktivera skadlig kod; logga in i systemet med läckta eller svaga lösenord från systemanvändare.

Experten Vu Ngoc Son analyserade att hackare vid ransomware-attacker vanligtvis får tillgång till system på flera sätt, såsom att knäcka lösenord och utnyttja systemsårbarheter, främst nolldagssårbarheter (sårbarheter för vilka tillverkaren ännu inte har släppt patchar – PV).

"Finansföretag måste vanligtvis uppfylla regelverk, så det är nästan omöjligt att knäcka lösenord. Ett mer troligt scenario är en attack via en nolldagssårbarhet. I den här typen av attack skickar hackare korrupta datasnuttar på distans, vilket gör att programvaran inte fungerar under bearbetningen."

Därefter kör hackaren fjärrkörbar kod och tar kontroll över tjänstens server. Från den här servern samlar hackaren in ytterligare information, använder de förvärvade administratörskontona för att attackera andra servrar i nätverket och kör slutligen datakrypteringsverktyg för att utpressa pengar, analyserade experten Vu Ngoc Son.

Lektion 2 – Experter visar hur man ska reagera på ransomware-attacker.

Systemsäkerhetsbedömning för onlinehandel med värdepapper senast den 15 april: Den 15 april är sista dagen för värdepappersbolag att slutföra granskningen och bedömningen av informationssäkerheten och implementera åtgärder för att åtgärda risker och svagheter i sina system, inklusive system som hanterar onlinehandel med värdepapper.