Analysrapport om LockBit 3.0-ransomware släppt

Under de tre veckorna från den 24 mars till den första veckan i april i år registrerades i Vietnams cyberrymd flera på varandra följande riktade attacker i form av ransomware mot stora vietnamesiska företag verksamma inom viktiga områden som finans, värdepapper, energi, telekommunikation etc. Dessa attacker orsakade att företagens system stängdes av under en tid, vilket orsakade betydande ekonomisk skada och anseendeskador för de enheter vars system var måltavlor för cyberkriminella grupper.

Under processen att analysera och undersöka orsakerna och grupperna av personer som nyligen attackerat informationssystemen hos vietnamesiska företag, fann myndigheterna att dessa incidenter var "produkter" av många olika attackgrupper som LockBit, BlackCat, Mallox... I synnerhet med ransomware-attacken mot VNDIRECT-systemet klockan 10:00 den 24 mars, som krypterade all data från företag bland de tre största på den vietnamesiska aktiemarknaden, identifierade myndigheterna LockBit-gruppen med skadlig programvara LockBit 3.0 som bakom denna incident.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Nationella cybersäkerhetscentret, avdelning A05 ( ministeriet för offentlig säkerhet ) bekräftade att attacken mot värdepappersbolaget VNDIRECT i mars 2024 utfördes av LockBit 3.0.

LockBit-gruppen har världen över lanserat många ransomware-attacker riktade mot stora företag och organisationer. Till exempel, i juni respektive oktober 2023, attackerade denna ökända ransomware-grupp Semiconductor Manufacturing Company TSMC (Taiwan, Kina) och Information Technology Products and Services Company CDW, med en lösensumma som Lockbit-gruppen krävde att företag betalade upp till 70–80 miljoner USD.

Med önskan att hjälpa myndigheter, organisationer och företag i Vietnam att bättre förstå faronivån och hur man kan förebygga och minimera riskerna från ransomware-attacker i allmänhet såväl som attacker från LockBit-gruppen, har National Cyber ​​Security Monitoring Center - NCSC under avdelningen för informationssäkerhet (ministeriet för information och kommunikation) just sammanställt informationskällor om cyberrymden och släppt "Analysrapporten om ransomware LockBit 3.0".

Världens farligaste ransomware-grupp

Den nya rapporten som NCSC har utarbetat fokuserar på fyra huvudsakliga innehållsämnen, inklusive: Information om LockBit ransomware-attackgruppen; Aktiva LockBit-kluster; Lista över registrerade cyberattackindikatorer relaterade till LockBit 3.0; Hur man förebygger och minimerar riskerna från ransomware-attacker.

NCSC-rapporten identifierade LockBit som en av de farligaste ransomware-grupperna i världen och konstaterade också att LockBit sedan sitt första framträdande 2019 har utfört ett flertal attacker riktade mot företag och organisationer inom olika sektorer. Gruppen verkar enligt en "Ransomware-as-a-Service (RaaS)"-modell, vilket gör det möjligt för hotande aktörer att distribuera ransomware och dela vinster med de som står bakom tjänsten.

ransomware lockbit.jpg
Enligt experter är LockBit en av de farligaste ransomware-grupperna i världen. Illustration: Bkav

Det är värt att notera att källkoden för LockBit 3.0, inklusive några av de namn som kunde användas för att utveckla denna ransomware, läcktes ut av en person vid namn 'ali_qushji' på X-plattformen (tidigare Twitter) i september 2022. Läckan gjorde det möjligt för experter att ytterligare analysera LockBit 3.0 ransomware-exemplet, men sedan dess har hotaktörer skapat en våg av nya ransomware-varianter baserade på källkoden för LockBit 3.0.

Förutom att analysera attackmetoderna för aktiva LockBit ransomware-kluster som TronBit, CriptomanGizmo eller Tina Turnet, ger NCSC-rapporten även enheterna en lista över cyberattackindikatorer relaterade till LockBit 3.0 som har registrerats. "Vi kommer kontinuerligt att uppdatera informationen om IOC-indikatorer på sidan alert.khonggianmang.vn på den nationella cyberspaceportalen", säger en NCSC-expert.

En särskilt viktig del som nämns i "LockBit 3.0 Ransomware Analysis Report" är innehållet som vägleder myndigheter, organisationer och företag om hur man förebygger och minimerar riskerna från ransomware-attacker. Viktiga anteckningar för att stödja enheter i Vietnam i att förebygga och reagera på ransomware-attacker har nämnts av informationssäkerhetsavdelningen i "Handboken om vissa åtgärder för att förebygga och minimera risker från ransomware-attacker" som släpptes den 6 april, och fortsätter att rekommenderas för implementering av NCSC-experter.

W-anti-ransomware-attack-1.jpg
Kontinuerlig övervakning för att upptäcka tidiga systemintrång är en av nio åtgärder som informationssäkerhetsavdelningen rekommenderar att organisationer implementerar för att förhindra ransomware-attacker. Illustrationsfoto: Khanh Linh

Enligt experter börjar ransomware-attacker idag ofta med en säkerhetsbrist hos en myndighet eller organisation. Angripare penetrerar systemet, upprätthåller närvaro, utökar intrångsomfånget, kontrollerar organisationens IT-infrastruktur och förlamar systemet, i syfte att tvinga verkliga offerorganisationer att betala lösensumma om de vill återställa krypterad data.

En representant för informationssäkerhetsavdelningen delade med VietNamNet -reportrar vid tidpunkten då attacken mot VNDIRECT-systemet inträffade för fem dagar sedan, ur perspektivet för den enhet som deltog i att koordinera incidenthanteringsstödaktiviteter, och kommenterade: Denna incident är en viktig lärdom för att öka medvetenheten om nätverkssäkerhet och trygghet för organisationer och företag i Vietnam.

Därför behöver myndigheter, organisationer och företag, särskilt de som är verksamma inom viktiga områden som finans, bank, värdepapper, energi, telekommunikation etc., snarast och proaktivt granska och stärka både befintliga säkerhetssystem och professionell personal, och samtidigt utveckla incidenthanteringsplaner.

”Organisationer måste strikt följa de föreskrifter, krav och riktlinjer för informationssäkerhet och nätverkssäkerhet som har utfärdats. Det är varje organisations och företags ansvar att skydda sig själva och sina kunder från potentiella cyberattacker”, betonade en representant för informationssäkerhetsavdelningen.

LockBit ransomware var först känt som ABCD efter den krypterade filändelsen, och några månader senare dök en variant av ABCD upp med sitt nuvarande namn, Lockbit. Ett år senare släppte gruppen en uppgraderad version, LockBit 2.0 (även känd som LockBit Red), som inkluderade en annan integrerad skadlig kod kallad StealBit i syfte att stjäla känsliga data. LockBit 3.0, även känd som LockBit Black, är den senaste versionen, släppt 2022 med nya funktioner och förbättrade undanmanövreringstekniker.
Varför kan PVOIL-systemet återhämta sig snabbt efter en ransomware-attack?

Varför kan PVOIL-systemet återhämta sig snabbt efter en ransomware-attack?

Förutom den inte så stora systemstorleken är en viktig faktor för PVOIL för att snabbt kunna åtgärda ransomware-attacken och återställa driften efter bara några dagar tack vare säkerhetskopierade data.
Skapa en säkerhetskultur för att stärka försvaret mot ransomware-attacker

Skapa en säkerhetskultur för att stärka försvaret mot ransomware-attacker

Enligt CDNetworks Vietnam kan företag stärka sitt försvar mot cyberattacker, inklusive ransomware-attacker, genom att investera i personalutbildning, skapa en säkerhetskultur och främja samarbete mellan anställda och säkerhetsteamet.
Att betala lösensummor kommer att uppmuntra hackare att öka ransomware-attackerna

Att betala lösensummor kommer att uppmuntra hackare att öka ransomware-attackerna

Experter är överens om att organisationer som attackeras av ransomware inte bör betala lösensumman till hackare. Detta kommer att uppmuntra hackare att attackera andra mål eller uppmuntra andra hackergrupper att fortsätta attackera deras system.