Опубліковано звіт про аналіз програми-вимагача LockBit 3.0

Протягом 3 тижнів з 24 березня до першого тижня квітня цього року у кіберпросторі В'єтнаму було зафіксовано послідовні цілеспрямовані атаки у вигляді програм-вимагачів на великі в'єтнамські підприємства, що працюють у важливих галузях, таких як фінанси, цінні папери, енергетика, телекомунікації... Ці атаки призвели до зупинки систем підприємств на певний період часу, що призвело до значної економічної та репутаційної шкоди підрозділам, чиї системи стали ціллю кіберзлочинних груп.

Під час аналізу та розслідування причин і груп суб'єктів, які нещодавно атакували інформаційні системи в'єтнамських підприємств, влада виявила, що ці інциденти були «продуктом» багатьох різних атакуючих груп, таких як LockBit, BlackCat, Mallox... Зокрема, у зв'язку з атакою програм-вимагачів на систему VNDIRECT о 10:00 ранку 24 березня, яка зашифрувала всі дані підприємств з трійки лідерів в'єтнамського фондового ринку, влада ідентифікувала групу LockBit зі шкідливим програмним забезпеченням LockBit 3.0 як винну в цьому інциденті.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Національний центр кібербезпеки, Департамент A05 ( Міністерство громадської безпеки ) підтвердив, що атаку на систему управління цінними паперами VNDIRECT у березні 2024 року було здійснено за допомогою LockBit 3.0.

По всьому світу група LockBit здійснила багато атак програм-вимагачів, спрямованих на великий бізнес та організації. Наприклад, у 2023 році, у червні та жовтні відповідно, ця сумнозвісна група програм-вимагачів атакувала компанію з виробництва напівпровідників TSMC (Тайвань, Китай) та компанію з виробництва інформаційних технологій CDW, при цьому сума викупу, яку група Lockbit вимагала від підприємств, становила до 70-80 мільйонів доларів США.

Бажаючи допомогти агентствам, організаціям та підприємствам у В'єтнамі краще зрозуміти рівень небезпеки та способи запобігання та мінімізації ризиків від атак програм-вимагачів загалом, а також атак групи LockBit, Національний центр моніторингу кібербезпеки - NCSC при Департаменті інформаційної безпеки (Міністерство інформації та зв'язку) щойно синтезував джерела інформації про кіберпростір та опублікував «Аналіз звіту про програму-вимагач LockBit 3.0».

Найнебезпечніша у світі група програм-вимагачів

Новий звіт, підготовлений NCSC, зосереджений на 4 основних аспектах, зокрема: інформація про групу атак програм-вимагачів LockBit; активні кластери LockBit; список зареєстрованих індикаторів кібератак, пов'язаних з LockBit 3.0; як запобігти та мінімізувати ризики від атак програм-вимагачів.

У звіті NCSC, де LockBit визначено однією з найнебезпечніших груп програм-вимагачів у світі, також зазначається, що з моменту своєї першої появи у 2019 році LockBit здійснила численні атаки, спрямовані на підприємства та організації в різних секторах. Група працює за моделлю «програма-вимагач як послуга (RaaS)», що дозволяє зловмисникам розгортати програми-вимагачі та ділитися прибутком з тими, хто стоїть за цим сервісом.

Програма-вимагач Lockbit.jpg
За словами експертів, LockBit є однією з найнебезпечніших груп програм-вимагачів у світі. Ілюстрація: Bkav

Примітно, що у вересні 2022 року вихідний код LockBit 3.0, включаючи деякі імена, які могли бути використані для розробки цього програмного забезпечення-вимагача, був оприлюднений особою під ім'ям «ali_qushji» на платформі X (раніше Twitter). Витік дозволив експертам додатково проаналізувати зразок програми-вимагача LockBit 3.0, але з того часу зловмисники створили хвилю нових варіантів програм-вимагачів на основі вихідного коду LockBit 3.0.

Поряд з аналізом методів атаки активних кластерів програм-вимагачів LockBit, таких як TronBit, CriptomanGizmo або Tina Turner, звіт NCSC також надає підрозділам список зареєстрованих індикаторів кібератак, пов’язаних з LockBit 3.0. «Ми будемо постійно оновлювати інформацію про індикатори IOC на сторінці alert.khonggianmang.vn національного кіберпорталу», – сказав експерт NCSC.

Особливо важливою частиною «Звіту про аналіз програм-вимагачів LockBit 3.0» є контент, який допомагає агентствам, організаціям та підприємствам запобігати та мінімізувати ризики від атак програм-вимагачів. Важливі примітки для підтримки підрозділів у В'єтнамі у запобіганні та реагуванні на атаки програм-вимагачів були згадані Департаментом інформаційної безпеки у «Посібнику з деяких заходів щодо запобігання та мінімізації ризиків від атак програм-вимагачів», опублікованому 6 квітня, і продовжують рекомендуватися для впровадження експертами NCSC.

W-анти-вимагач-1.jpg
Безперервний моніторинг для раннього виявлення вторгнень у систему є одним із дев'яти заходів, які Департамент інформаційної безпеки рекомендує організаціям впроваджувати для запобігання атакам програм-вимагачів. Фото-ілюстрація: Хань Лінь

За словами експертів, атаки програм-вимагачів сьогодні часто починаються через слабкість безпеки агентства чи організації. Зловмисники проникають у систему, підтримують свою присутність, розширюють сферу вторгнення, контролюють ІТ-інфраструктуру організації та паралізують систему з метою змусити реальні організації-жертви платити викуп, якщо вони хочуть відновити зашифровані дані.

Поділившись з журналістами VietNamNet інформацією про атаку на систему VNDIRECT 5 днів тому, з точки зору підрозділу, який брав участь у координації заходів підтримки реагування на інциденти, представник Департаменту інформаційної безпеки прокоментував: «Цей інцидент є важливим уроком для підвищення обізнаності про мережеву безпеку організацій та підприємств у В'єтнамі».

Тому агентствам, організаціям та підприємствам, особливо тим, що працюють у таких важливих галузях, як фінанси, банківська справа, цінні папери, енергетика, телекомунікації тощо, необхідно терміново та проактивно переглянути та зміцнити як існуючі системи безпеки, так і професійний персонал, а також одночасно розробити плани реагування на інциденти.

«Організації повинні суворо дотримуватися виданих правил, вимог та інструкцій щодо інформаційної та мережевої безпеки. Це відповідальність кожної організації та підприємства за захист себе та своїх клієнтів від потенційних кібератак», – наголосив представник Департаменту інформаційної безпеки.

Програма-вимагач LockBit спочатку була відома як ABCD за розширенням зашифрованого файлу, а через кілька місяців з'явився варіант ABCD із сучасною назвою Lockbit. Через рік група випустила оновлену версію LockBit 2.0 (також відому як LockBit Red), яка включала ще одне інтегроване шкідливе програмне забезпечення під назвою StealBit для крадіжки конфіденційних даних. LockBit 3.0, також відома як LockBit Black, – це остання версія, випущена у 2022 році з новими функціями та вдосконаленими методами ухилення.
Чому система PVOIL може швидко відновитися після атаки програми-вимагача?

Чому система PVOIL може швидко відновитися після атаки програми-вимагача?

Окрім не надто великого розміру системи, важливим фактором для PVOIL, що дозволяє швидко виправити атаку програми-вимагача та відновити роботу вже через кілька днів, є резервні копії даних.
Формування культури безпеки для посилення захисту від атак програм-вимагачів

Формування культури безпеки для посилення захисту від атак програм-вимагачів

За даними CDNetworks Vietnam, інвестуючи в навчання співробітників, формуючи культуру безпеки та сприяючи співпраці між відділом кадрів та командами безпеки, компанії можуть підвищити свій захист від кібератак, включаючи атаки програм-вимагачів.
Виплата викупу за дані спонукатиме хакерів до збільшення кількості атак програм-вимагачів.

Виплата викупу за дані спонукатиме хакерів до збільшення кількості атак програм-вимагачів.

Експерти погоджуються, що організації, які зазнають атак програм-вимагачів, не повинні платити викуп хакерам. Це спонукатиме хакерів атакувати інші цілі або спонукатиме інші хакерські групи продовжувати атакувати власні системи.