«Шлях», який хакери використовують для проникнення в системи та здійснення атак шифрування даних.

Продовження «кошмару» шкідливого програмного забезпечення для шифрування даних.

Кібератаку на систему VNDIRECT, компанії, яка входить до трійки лідерів на в'єтнамському фондовому ринку, що сталася вранці 24 березня, вже значною мірою вирішено. Дані розшифровано, і система пошуку "Мій обліковий запис" знову працює.

VNDIRECT повідомляє, що інцидент 24 березня був скоєний професійною атакою, в результаті чого було зашифровано всі дані компанії. Атаки програм-вимагачів стали постійним кошмаром для підприємств та організацій у всьому світі в останні роки через серйозні наслідки, які вони можуть спричинити. Експерти навіть порівнюють програми-вимагачі з «нічним кошмаром» або «привидом» у кіберпросторі.

Згідно з дорожньою картою, оголошеною VNDIRECT своїм клієнтам та партнерам, системи, продукти та інші послуги будуть поступово відновлюватися. Компанія планує протестувати потік трафіку з фондовими біржами 28 березня.

Однак, з аналізу експертів з інформаційної безпеки видно, що команді технічних спеціалістів VNDIRECT та експертам зі сканування вразливостей ще належить пройти довгий шлях до ретельного вирішення інциденту. Програма-вимагач не є новою формою кібератаки, але вона дуже складна та вимагає багато часу для очищення даних, повного відновлення системи та повернення до нормального режиму роботи.

«Щоб повністю вирішити проблему атаки програм-вимагачів, операційному підрозділу іноді навіть доводиться змінювати архітектуру системи, особливо систему резервного копіювання. Тому, враховуючи інцидент, з яким зараз стикається VNDIRECT, ми вважаємо, що для повного відновлення системи знадобиться більше часу, навіть місяці», – сказав Ву Нгок Сон, технічний директор компанії NCS.

За словами пана Нгуєна Мінь Хая, технічного директора Fortinet Vietnam, залежно від серйозності атаки, рівня підготовки та ефективності плану реагування, час, необхідний для відновлення системи після атаки програми-вимагача, може значно відрізнятися, від кількох годин до кількох тижнів для повного відновлення, особливо у випадках, що потребують відновлення великого обсягу даних.

«Частина цього процесу відновлення включає забезпечення повного видалення з мережі шкідливого програмного забезпечення, що шифрує дані, та усунення будь-яких бекдорів, які могли б дозволити зловмисникам відновити доступ», – повідомив пан Нгуєн Мінь Хай.

Експерти також зазначили, що, окрім того, що кібератака на VNDIRECT стала «тривожним дзвінком» для організацій, які керують критично важливими інформаційними системами у В'єтнамі, вона ще раз продемонструвала небезпечну природу програм-вимагачів.

Понад шість років тому WannaCry та його варіанти спричинили значні збої в роботі багатьох підприємств та організацій, швидко поширившись на понад 300 000 комп'ютерів у майже 100 країнах та територіях світу , включаючи В'єтнам.

В останні роки бізнес постійно турбується про атаки програм-вимагачів. Минулого року у кіберпросторі В'єтнаму було зафіксовано багато атак програм-вимагачів із серйозними наслідками; у деяких випадках хакери не лише шифрували дані, щоб вимагати викуп, але й продавали ці дані третім сторонам, щоб максимізувати свій прибуток. Згідно зі статистикою NCS, у 2023 році повідомлялося, що до 83 000 комп'ютерів та серверів у В'єтнамі були атаковані програмами-вимагачами.

Звичайні «шляхи» для проникнення в системи.

Технологічна команда VNDIRECT разом з експертами з інформаційної безпеки впроваджує рішення для повного відновлення та захисту системи. Причина інциденту та «шлях», який хакери використовували для проникнення в систему, все ще розслідуються.

За словами пана Нго Туан Аня, генерального директора компанії SCS Smart Cybersecurity, для здійснення атак із шифруванням даних хакери зазвичай обирають проникнення на сервери, що містять важливі дані, та їх шифрування. Існує два поширених методи, які хакери використовують для проникнення в організаційні системи: безпосередньо через вразливості чи слабкі місця в серверній системі; або ж шляхом «обходу» через комп’ютер адміністратора та отримання таким чином контролю над системою.

У розмові з VietNamNet пан Ву Тхе Хай, керівник відділу моніторингу інформаційної безпеки компанії VSEC, також вказав на кілька можливостей для хакерів проникнути та встановити шкідливе програмне забезпечення в системи: використання існуючих вразливостей у системі для отримання контролю та встановлення шкідливого програмного забезпечення; надсилання електронних листів із вкладеними файлами, що містять шкідливе програмне забезпечення, щоб обманом змусити користувачів відкрити та активувати шкідливе програмне забезпечення; вхід у систему з використанням витікаючих або слабких паролів користувачів системи.

Експерт Ву Нгок Сон проаналізував, що під час атак програм-вимагачів хакери зазвичай отримують доступ до систем кількома способами, такими як злом паролів, використання системних вразливостей, переважно вразливостей нульового дня (вразливості, для яких виробник ще не випустив патчі - PV).

«Фінансові компанії зазвичай повинні відповідати нормативним стандартам, тому злом паролів практично неможливий. Більш імовірним сценарієм є атака через вразливість нульового дня. У цьому типі атаки хакери віддалено надсилають пошкоджені фрагменти даних, що призводить до збоїв у роботі програмного забезпечення під час обробки».

Далі хакер запускає віддалений виконуваний код і бере під контроль сервер служби. З цього сервера хакер збирає додаткову інформацію, використовує отримані облікові записи адміністраторів для атаки на інші сервери в мережі та, нарешті, запускає інструменти шифрування даних для вимагання грошей», – проаналізував експерт Ву Нгок Сон.

Урок 2 – Експерти показують, як реагувати на атаки програм-вимагачів.

Оцінка безпеки системи для онлайн-торгівлі цінними паперами до 15 квітня: 15 квітня – це кінцевий термін для компаній, що займаються цінними паперами, – завершення перевірки та оцінки інформаційної безпеки та вжиття заходів для усунення ризиків і слабких місць у своїх системах, включаючи системи, що обслуговують онлайн-торгівлю цінними паперами.