Хакери-«шляхи» проникають у систему для атаки на шифрування даних

Продовження «кошмару» шкідливого програмного забезпечення для шифрування даних

Кібератаку на систему VNDIRECT, компанію, що входить до трійки лідерів в'єтнамського фондового ринку, яка сталася вранці 24 березня, фактично вирішено. Дані розшифровано, і система пошуку "Мій обліковий запис" знову працює.

VNDIRECT повідомив, що інцидент 24 березня був скоєний професійною атакою, в результаті чого всі дані компанії були зашифровані. Атаки шкідливого програмного забезпечення для шифрування даних – програми-вимагачі – завжди були кошмаром для підприємств та організацій у всьому світі в останні роки через серйозні наслідки, які вони можуть спричинити. Експерти також порівнюють програми-вимагачі з «нічним кошмаром» та «привидом» у кіберпросторі.

Згідно з дорожньою картою, оголошеною VNDIRECT клієнтам та партнерам, операційний підрозділ продовжуватиме поступово знову відкривати системи, продукти та інші утиліти. Цей підрозділ планує перевірити потік даних з фондовими біржами 28 березня.

Однак, з аналізу експертів з інформаційної безпеки видно, що важкі дні технологічної команди VNDIRECT та експертів, які сканують вразливості та ретельно виправляють проблему, ще довгі. Програма-вимагач не є новою формою кібератаки, але вона дуже складна, вимагає багато часу для очищення даних, повного відновлення системи та повернення до нормальної роботи.

«Щоб повністю виправити ситуацію з атакою програм-вимагачів, операційному підрозділу іноді доводиться змінювати архітектуру системи, особливо систему резервного копіювання. Тому, враховуючи інцидент, з яким зіткнулася VNDIRECT, ми вважаємо, що для повного відновлення системи знадобиться більше часу, навіть місяці», – сказав технічний директор NCS Ву Нгок Сон.

Пан Нгуєн Мінь Хай, технічний директор Fortinet Vietnam, зазначив, що залежно від серйозності атаки, можливості підготуватися заздалегідь та ефективності плану реагування, час, необхідний для відновлення системи після атаки програми-вимагача, може сильно відрізнятися, від кількох годин до кількох тижнів для повного відновлення, особливо у випадках, коли потрібно відновити великий обсяг даних.

«Частина цього процесу відновлення включає забезпечення повного видалення з мережі шкідливого програмного забезпечення для шифрування даних і відсутність бекдорів, які могли б дозволити зловмисникам відновити доступ», – сказав Нгуєн Мінь Хай.

Експерти також зазначили, що кібератака на VNDIRECT, окрім того, що стала «тривожним дзвінком» для підрозділів, які керують важливими інформаційними системами у В'єтнамі, також вкотре продемонструвала рівень небезпеки програм-вимагачів.

Понад 6 років тому WannaCry та його варіанти шкідливого програмного забезпечення для шифрування даних спричинили «боротьбу» для багатьох підприємств та організацій, коли вони швидко поширилися на понад 300 000 комп’ютерів у майже 100 країнах та територіях світу , включаючи В’єтнам.

В останні роки бізнес завжди був стурбований атаками програм-вимагачів. Минулого року у кіберпросторі В'єтнаму було зафіксовано багато атак програм-вимагачів із серйозними наслідками; були випадки, коли хакери не лише шифрували дані, щоб вимагати викуп, але й продавали ці дані третім особам, щоб максимізувати суму зібраних грошей. Згідно зі статистикою NCS, у 2023 році у В'єтнамі було зареєстровано до 83 000 комп'ютерів та серверів, атакованих програмами-вимагачами.

Поширені «шляхи» проникнення в систему

Технологічна команда VNDIRECT співпрацює з експертами з інформаційної безпеки, щоб розгорнути рішення для повного відновлення системи, забезпечуючи при цьому безпеку системи. Причина інциденту та «шлях», який хакер використав для проникнення в систему, все ще розслідуються.

За словами пана Нго Туан Аня, генерального директора компанії SCS Smart Network Security, для атаки на шифрування даних хакери часто обирають проникнення на сервер, що містить важливі дані, та шифрування цих даних. Існує два способи, які хакери часто використовують для проникнення в систему пристроїв: безпосередньо через вразливості та слабкі місця серверної системи; або ж «обхід» через комп’ютер адміністратора та звідти отримання контролю над системою.

У розмові з VietNamNet пан Ву Тхе Хай, керівник відділу моніторингу інформаційної безпеки компанії VSEC, також вказав на деякі можливості для хакерів проникнути та встановити шкідливе програмне забезпечення в систему: використання існуючих вразливостей системи для отримання контролю та встановлення шкідливого програмного забезпечення; надсилання електронних листів із вкладеними файлами, що містять шкідливе програмне забезпечення, для обману користувачів у відкритій системі, активація шкідливого програмного забезпечення; вхід у систему за допомогою витікаючих паролів або слабких паролів користувачів системи.

Експерт Ву Нгок Сон проаналізував, що під час атак програм-вимагачів хакери часто проникають у систему кількома способами, такими як перевірка паролів, використання системних вразливостей, переважно вразливостей нульового дня (вразливості, які виробник ще не виправив - PV).

«Фінансові компанії зазвичай повинні відповідати нормативним стандартам, тому можливість виявлення пароля практично неможлива. Найбільш ймовірною можливістю є атака через вразливість нульового дня. Відповідно, хакери дистанційно надсилають сегменти даних, що викликають помилки, що призводять до переходу програмного забезпечення в неконтрольований стан під час обробки».

Далі хакер запускає віддалене виконання коду та отримує контроль над сервером служби. З цього сервера хакер продовжує збирати інформацію, використовує отримані облікові записи адміністраторів для атаки на інші сервери в мережі та, нарешті, запускає інструменти шифрування даних для вимагання», – проаналізував експерт Ву Нгок Сон.

Урок 2 – Експерти показують, як реагувати на атаки програм-вимагачів

15 квітня – кінцевий термін для компаній, що займаються цінними паперами, – завершення перевірки та оцінки інформаційної безпеки та впровадження заходів для подолання ризиків і слабких місць систем, включаючи систему, що обслуговує онлайн-транзакції з цінними паперами.