Publicering av analysrapporten för LockBit 3.0 ransomware.

Mellan den 24 mars och den första veckan i april i år bevittnade Vietnams cyberrymd en serie riktade ransomware-attacker mot stora vietnamesiska företag som var verksamma inom kritiska sektorer som finans, värdepapper, energi och telekommunikation. Dessa attacker orsakade systemavbrott under en tid, vilket resulterade i betydande ekonomiska förluster och skador på de drabbade enheternas rykte.

Genom processen att analysera och undersöka orsakerna och grupperna som nyligen har attackerat informationssystemen hos vietnamesiska företag har myndigheterna upptäckt att dessa incidenter är "produkter" av olika attackgrupper som LockBit, BlackCat, Mallox, etc. I synnerhet när det gäller ransomware-attacken mot VNDIRECTs system klockan 10:00 den 24 mars, som krypterade all data från ett företag som rankas bland de 3 bästa på den vietnamesiska aktiemarknaden, har myndigheterna identifierat LockBit och dess LockBit 3.0-skadlig programvara som förövarna.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Nationella cybersäkerhetscentret, avdelning A05 ( ministeriet för offentlig säkerhet ) har bekräftat att attacken mot värdepappersföretaget VNDIRECTs system i mars 2024 utfördes av LockBit 3.0.

Globalt har LockBit-gruppen lanserat ett flertal ransomware-attacker riktade mot stora företag och organisationer. Till exempel attackerade denna ökända ransomware-grupp i juni och oktober 2023 halvledartillverkaren TSMC (Taiwan, Kina) och IT-produkt- och tjänsteföretaget CDW och krävde lösensummor på upp till 70–80 miljoner dollar från dessa företag.

I syfte att hjälpa myndigheter, organisationer och företag i Vietnam att bättre förstå faran och hur man kan förebygga och mildra riskerna från ransomware-attacker i allmänhet, såväl som attacker från LockBit-gruppen i synnerhet, har National Cybersecurity Monitoring Center - NCSC under avdelningen för informationssäkerhet (ministeriet för information och kommunikation) sammanställt information från onlinekällor och släppt "Analysrapporten om LockBit 3.0 Ransomware".

Världens farligaste ransomware-grupp.

Den nya rapporten från NCSC fokuserar på fyra huvudpunkter, inklusive: Information om LockBit ransomware-attackgruppen; Aktiva LockBit-kluster; En lista över registrerade LockBit 3.0-relaterade cyberattackindikatorer; och Metoder för att förebygga och mildra risker från ransomware-attacker.

NCSC-rapporten identifierade LockBit som en av världens ledande ransomware-grupper och uppgav också att LockBit sedan sitt första framträdande 2019 har utfört ett flertal attacker riktade mot företag och organisationer inom olika sektorer. Gruppen arbetar med en "Ransomware-as-a-Service (RaaS)"-modell, vilket gör det möjligt för hotaktörer att distribuera ransomware och dela vinster med de som står bakom tjänsten.

ransomware lockbit.jpg
Enligt experter är LockBit en av de farligaste ransomware-grupperna i världen. (Illustration: Bkav)

Det är värt att notera att källkoden för LockBit 3.0, inklusive flera namn som kunde användas för att utveckla denna ransomware, läcktes ut av en person vid namn 'ali_qushji' på X-plattformen (tidigare Twitter) i september 2022. Denna läcka gjorde det möjligt för experter att analysera LockBit 3.0 ransomware närmare, men sedan dess har hotaktörer skapat en våg av nya ransomware-varianter baserade på LockBit 3.0 källkoden.

Förutom att analysera attackmetoderna för aktiva LockBit ransomware-kluster som TronBit, CriptomanGizmo och Tina Turnet, förser NCSC-rapporten även relevanta myndigheter med en lista över registrerade IOC-attackindikatorer (Intelligent Operational Crime) relaterade till LockBit 3.0. ”Vi kommer kontinuerligt att uppdatera IOC-indikatorerna på sidan alert.khonggianmang.vn på den nationella cybersäkerhetsportalen”, uppgav en NCSC-expert.

Ett särskilt viktigt avsnitt i "LockBit 3.0 Ransomware Analysis Report" är den vägledning som ges till myndigheter, organisationer och företag om hur man förebygger och minskar riskerna från ransomware-attacker. Viktiga anteckningar för att stödja vietnamesiska enheter i att förebygga och reagera på ransomware-attacker, som beskrivs av cybersäkerhetsavdelningen i "Handboken om åtgärder för att förebygga och minska risker från ransomware-attacker" som släpptes den 6 april, fortsätter att rekommenderas för implementering av NCSC-experter.

W-phong-chong-tan-cong-ransomware-1.jpg
Kontinuerlig övervakning för att tidigt upptäcka systemintrång är en av nio åtgärder som cybersäkerhetsmyndigheten rekommenderar att organisationer implementerar för att förhindra ransomware-attacker. (Illustration: Khanh Linh)

Enligt experter har nuvarande ransomware-attacker ofta sitt ursprung i en säkerhetsbrist inom en organisation. Angripare infiltrerar systemet, upprätthåller en närvaro, utökar sin räckvidd, kontrollerar organisationens IT-infrastruktur och lamslår systemet, med målet att tvinga offerorganisationer att betala en lösensumma för att återställa deras krypterade data.

I ett uttalande till VietNamNet -reportrar fem dagar efter attacken mot VNDIRECT-systemet sa en representant från informationssäkerhetsavdelningen, utifrån den enhet som samordnar incidentresponsen, följande: Denna incident är en viktig lärdom för att öka medvetenheten om cybersäkerhet bland organisationer och företag i Vietnam.

Därför måste myndigheter, organisationer och företag, särskilt de som är verksamma inom kritiska sektorer som finans, bank, värdepapper, energi och telekommunikation, snarast och proaktivt granska och stärka både sina befintliga säkerhetssystem och personal, samtidigt som de utvecklar incidenthanteringsplaner.

”Organisationer måste strikt följa de föreskrifter, krav och riktlinjer för informationssäkerhet och cybersäkerhet som har utfärdats. Det är varje organisations och företags ansvar att skydda sig själv och sina kunder från potentiella cyberattackrisker”, betonade en representant från informationssäkerhetsavdelningen.

LockBit-ransomwaren var först känd som ABCD, uppkallad efter den krypterade filändelsen, och efter några månader dök en variant av ABCD upp under dess nuvarande namn, Lockbit. Ett år senare släppte gruppen en uppgraderad version, LockBit 2.0 (även känd som LockBit Red), som inkluderade en annan integrerad skadlig kod kallad StealBit, som syftar till att stjäla känsliga data. LockBit 3.0, eller LockBit Black, är den senaste versionen, släppt 2022, med nya funktioner och avancerade tekniker för att kringgå säkerheten.
Varför kunde PVOIL-systemet återhämta sig så snabbt efter en ransomware-attack?

Varför kunde PVOIL-systemet återhämta sig så snabbt efter en ransomware-attack?

Förutom dess relativt lilla systemstorlek var dess säkerhetskopior en avgörande faktor som gjorde det möjligt för PVOIL att snabbt lösa ransomware-attacken och återställa driften inom bara några dagar.
Utveckla en säkerhetskultur för att stärka försvaret mot ransomware-attacker.

Utveckla en säkerhetskultur för att stärka försvaret mot ransomware-attacker.

Enligt CDNetworks Vietnam kan företag förbättra sitt försvar mot cyberattacker, inklusive ransomware-attacker, genom att investera i personalutbildning, främja en säkerhetskultur och främja samarbete mellan personal och säkerhetsteam.
Att betala lösensumma för data kommer att uppmuntra hackare att öka antalet ransomware-attacker.

Att betala lösensumma för data kommer att uppmuntra hackare att öka antalet ransomware-attacker.

Experter är överens om att organisationer som drabbats av ransomware-attacker inte bör betala lösensumman till hackarna. Att göra det skulle uppmuntra hackarna att attackera andra mål eller uppmuntra andra hackergrupper att attackera organisationens system igen.