Випуск звіту про аналіз програми-вимагача LockBit 3.0.

У період з 24 березня по перший тиждень квітня цього року кіберпростір В'єтнаму зазнав серії цілеспрямованих атак програм-вимагачів, спрямованих на великі в'єтнамські підприємства, що працюють у критично важливих секторах, таких як фінанси, цінні папери, енергетика та телекомунікації. Ці атаки спричинили збої в роботі систем протягом певного періоду часу, що призвело до значних економічних втрат та шкоди репутації цільових організацій.

В процесі аналізу та розслідування причин і груп, які нещодавно атакували інформаційні системи в'єтнамських підприємств, влада виявила, що ці інциденти є «продуктом» різних атакуючих груп, таких як LockBit, BlackCat, Mallox тощо. Зокрема, щодо атаки програм-вимагачів на систему VNDIRECT о 10:00 ранку 24 березня, яка зашифрувала всі дані компанії, що входить до трійки лідерів на в'єтнамському фондовому ринку, влада визначила LockBit та її шкідливе програмне забезпечення LockBit 3.0 як винних.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Національний центр кібербезпеки, Департамент A05 ( Міністерство громадської безпеки ) підтвердив, що атаку на систему компанії VNDIRECT securities у березні 2024 року було здійснено за допомогою LockBit 3.0.

У всьому світі група LockBit здійснила численні атаки програм-вимагачів, спрямовані на великі підприємства та організації. Наприклад, у червні та жовтні 2023 року ця сумнозвісна група програм-вимагачів атакувала виробника напівпровідників TSMC (Тайвань, Китай) та компанію CDW, що займається розробкою ІТ-продуктів та послуг, вимагаючи від цих компаній викуп у розмірі до 70-80 мільйонів доларів.

З метою допомогти агентствам, організаціям та підприємствам у В'єтнамі краще зрозуміти рівень небезпеки та способи запобігання та зменшення ризиків від атак програм-вимагачів загалом, а також атак групи LockBit зокрема, Національний центр моніторингу кібербезпеки - NCSC при Департаменті інформаційної безпеки (Міністерство інформації та зв'язку) зібрав інформацію з онлайн-джерел та опублікував «Аналіз звіту щодо програми-вимагача LockBit 3.0».

Найнебезпечніша у світі група програм-вимагачів.

Новий звіт NCSC зосереджений на чотирьох основних пунктах, зокрема: інформації про групу атак програм-вимагачів LockBit; активних кластерах LockBit; списку зареєстрованих індикаторів кібератак, пов'язаних з LockBit 3.0; та методах запобігання та зменшення ризиків, пов'язаних з атаками програм-вимагачів.

Визначаючи LockBit як одну з провідних світових груп розповсюдження програм-вимагачів, у звіті NCSC також зазначається, що з моменту своєї першої появи у 2019 році LockBit здійснила численні атаки, спрямовані на підприємства та організації в різних секторах. Група працює за моделлю «програма-вимагач як послуга (RaaS)», що дозволяє зловмисникам розгортати програми-вимагачі та ділитися прибутком з тими, хто стоїть за цим сервісом.

Вимагач Lockbit.jpg
За словами експертів, LockBit є однією з найнебезпечніших груп програм-вимагачів у світі. (Ілюстрація: Bkav)

Примітно, що у вересні 2022 року вихідний код LockBit 3.0, включаючи кілька імен, які могли бути використані для розробки цього програмного забезпечення-вимагача, був оприлюднений особою під ім'ям «ali_qushji» на платформі X (раніше Twitter). Цей витік дозволив експертам детальніше проаналізувати програму-вимагач LockBit 3.0, але відтоді зловмисники створили хвилю нових варіантів програм-вимагачів на основі вихідного коду LockBit 3.0.

Поряд з аналізом методів атаки активних кластерів програм-вимагачів LockBit, таких як TronBit, CriptomanGizmo та Tina Turnet, звіт NCSC також надає відповідним агентствам список зареєстрованих індикаторів атаки IOC (Intelligent Operational Crime), пов'язаних з LockBit 3.0. «Ми будемо постійно оновлювати індикатори IOC на сторінці alert.khonggianmang.vn національного порталу кібербезпеки», – заявив експерт NCSC.

Особливо важливим розділом «Звіту про аналіз програм-вимагачів LockBit 3.0» є рекомендації, надані агентствам, організаціям та підприємствам щодо запобігання та зменшення ризиків, пов’язаних із атаками програм-вимагачів. Важливі примітки для підтримки в’єтнамських організацій у запобіганні та реагуванні на атаки програм-вимагачів, як зазначено Департаментом кібербезпеки у «Посібнику із заходів щодо запобігання та зменшення ризиків від атак програм-вимагачів», опублікованому 6 квітня, продовжують рекомендуватися для впровадження експертами NCSC.

W-phong-chong-tan-cong-ransomware-1.jpg
Безперервний моніторинг для раннього виявлення вторгнень у систему є одним із дев'яти заходів, які Агентство з кібербезпеки рекомендує організаціям впроваджувати для запобігання атакам програм-вимагачів. (Ілюстрація: Хань Лінь)

За словами експертів, поточні атаки програм-вимагачів часто виникають через вразливість безпеки всередині організації. Зловмисники проникають у систему, підтримують присутність, розширюють свою діяльність, контролюють ІТ-інфраструктуру організації та паралізують систему з метою змусити організації-жертви платити викуп за відновлення своїх зашифрованих даних.

Виступаючи перед журналістами VietNamNet через п'ять днів після атаки на систему VNDIRECT, представник Департаменту інформаційної безпеки, виступаючи від імені підрозділу, який координував реагування на інцидент, заявив: «Цей інцидент є важливим уроком для підвищення обізнаності про кібербезпеку серед організацій та підприємств у В'єтнамі».

Тому агентствам, організаціям та підприємствам, особливо тим, що працюють у критично важливих секторах, таких як фінанси, банківська справа, цінні папери, енергетика та телекомунікації, необхідно терміново та проактивно переглянути та зміцнити як свої існуючі системи безпеки, так і персонал, а також розробити плани реагування на інциденти.

«Організації повинні суворо дотримуватися виданих правил, вимог та інструкцій щодо інформаційної безпеки та кібербезпеки. Це відповідальність кожної організації та бізнесу за захист себе та своїх клієнтів від потенційних ризиків кібератак», – наголосив представник Департаменту інформаційної безпеки.

Програма-вимагач LockBit спочатку була відома як ABCD, на честь розширення зашифрованого файлу, а через кілька місяців з'явився варіант ABCD під нинішньою назвою Lockbit. Через рік група випустила оновлену версію LockBit 2.0 (також відому як LockBit Red), яка включала ще одне інтегроване шкідливе програмне забезпечення під назвою StealBit, спрямоване на крадіжку конфіденційних даних. LockBit 3.0, або LockBit Black, – це остання версія, випущена у 2022 році, з новими функціями та вдосконаленими методами обходу безпеки.
Чому система PVOIL змогла так швидко відновитися після атаки програми-вимагача?

Чому система PVOIL змогла так швидко відновитися після атаки програми-вимагача?

Окрім відносно невеликого розміру системи, вирішальним фактором, який дозволив PVOIL швидко вирішити проблему атаки програми-вимагача та відновити роботу всього за кілька днів, були дані резервного копіювання.
Розвивайте культуру безпеки для посилення захисту від атак програм-вимагачів.

Розвивайте культуру безпеки для посилення захисту від атак програм-вимагачів.

За даними CDNetworks Vietnam, інвестуючи в навчання співробітників, сприяючи розвитку культури безпеки та сприяючи співпраці між співробітниками та командами безпеки, компанії можуть посилити свій захист від кібератак, включаючи атаки програм-вимагачів.
Виплата викупу за дані спонукатиме хакерів до збільшення кількості атак програм-вимагачів.

Виплата викупу за дані спонукатиме хакерів до збільшення кількості атак програм-вимагачів.

Експерти погоджуються, що організації, які постраждали від атак програм-вимагачів, не повинні виплачувати викуп хакерам. Це спонукатиме хакерів атакувати інші цілі або спонукатиме інші хакерські групи знову атакувати системи організації.