Hackeři typu „Path“ pronikají do systému, aby napadli šifrování dat

Prodloužení „noční můry“ malwaru šifrujícího data

Kybernetický útok na systém VNDIRECT, společnosti patřící mezi tři největší vietnamské akciové trhy, k němuž došlo ráno 24. března, byl v podstatě vyřešen. Data byla dekódována a systém vyhledávání Můj účet je opět v provozu.

Server VNDIRECT informoval, že incident z 24. března provedla profesionální útočná skupina, která způsobila zašifrování všech firemních dat. Útoky malwaru s cílem šifrovat data – ransomware – byly v posledních letech noční můrou pro firmy a organizace po celém světě kvůli závažným následkům, které mohou způsobit. Odborníci také přirovnávají ransomware k „noční můře“ a „duchu“ v kyberprostoru.

Podle plánu, který společnost VNDIRECT oznámila zákazníkům a partnerům, bude provozní jednotka pokračovat v postupném znovuotevírání systémů, produktů a dalších nástrojů. Tato jednotka plánuje ověřit si tok informací s burzami cenných papírů 28. března.

Z analýzy expertů na informační bezpečnost je však patrné, že náročné dny technologického týmu VNDIRECT a expertů, kteří budou skenovat zranitelnosti a důkladně odstraňovat problém, budou ještě dlouhé. Ransomware není novou formou kybernetického útoku, ale je velmi složitý a vyžaduje spoustu času na vyčištění dat, kompletní obnovení systému a obnovení normálního provozu.

„Aby bylo možné útok ransomwaru kompletně vyřešit, musí operační jednotka někdy změnit architekturu systému, zejména zálohovací systém. Vzhledem k incidentu, kterému VNDIRECT čelí, si proto myslíme, že úplné zotavení systému bude trvat déle, dokonce i měsíce,“ uvedl technický ředitel NCS Vu Ngoc Son.

Pan Nguyen Minh Hai, technický ředitel společnosti Fortinet Vietnam, uvedl, že v závislosti na závažnosti útoku, schopnosti se předem připravit a účinnosti plánu reakce se může doba potřebná k obnovení systému po útoku ransomware značně lišit, od několika hodin až po několik týdnů pro úplnou obnovu, zejména v případech, kdy je třeba obnovit velké množství dat.

„Součástí tohoto procesu obnovy je zajištění toho, aby byl malware pro šifrování dat ze sítě zcela odstraněn a aby v síti nezůstaly žádné zadní vrátka, která by útočníkům umožnila znovu získat přístup,“ uvedl Nguyen Minh Hai.

Odborníci rovněž poznamenali, že kybernetický útok na VNDIRECT nejenže byl „budíčkem“ pro jednotky spravující a provozující důležité informační systémy ve Vietnamu, ale také znovu ukázal úroveň nebezpečí ransomwaru.

Před více než 6 lety způsobil WannaCry a jeho varianty malwaru pro šifrování dat „potíže“ mnoha firmám a organizacím, když se rychle rozšířily do více než 300 000 počítačů v téměř 100 zemích a teritoriích po celém světě , včetně Vietnamu.

V posledních letech se firmy vždy obávaly útoků ransomwaru. V loňském roce zaznamenal vietnamský kyberprostor mnoho útoků ransomwaru s vážnými následky; v nichž se vyskytly případy, kdy hackeři nejen šifrovali data za účelem požadování výkupného, ​​ale také je prodávali třetím stranám, aby maximalizovali částku vybraných peněz. Podle statistik NCS bylo v roce 2023 ve Vietnamu zaznamenáno až 83 000 napadených počítačů a serverů ransomwarem.

Běžné „cesty“ k proniknutí do systému

Technologický tým společnosti VNDIRECT spolupracuje s experty na informační bezpečnost na nasazení řešení pro úplné obnovení systému a zároveň zajištění jeho bezpečnosti. Příčina incidentu a „cesta“, kterou hacker použil k průniku do systému, jsou stále předmětem vyšetřování.

Podle pana Ngo Tuan Anha, generálního ředitele společnosti SCS Smart Network Security, se hackeři k útoku na šifrování dat často rozhodnou proniknout na server obsahující důležitá data a zašifrovat je. Existují dva způsoby, jak hackeři často proniknou do systému jednotek: přímo přes zranitelnosti a slabiny serverového systému; nebo se rozhodnou „obejít“ počítač administrátora a odtud převzít kontrolu nad systémem.

V rozhovoru pro VietNamNet pan Vu The Hai, vedoucí oddělení monitorování informační bezpečnosti společnosti VSEC, také poukázal na některé možnosti, jak se hackeri mohou infiltrovat a nainstalovat do systému malware: zneužití stávajících zranitelností v systému k převzetí kontroly a instalaci malwaru; odesílání e-mailů s připojenými soubory obsahujícími malware k oklamání uživatelů v otevřeném systému, aktivace malwaru; přihlašování do systému pomocí uniklých hesel nebo slabých hesel uživatelů systému.

Expert Vu Ngoc Son analyzoval, že v případě ransomwarových útoků se hackeři často dostávají do systému řadou způsobů, jako je například prověřování hesel, zneužívání systémových zranitelností, zejména zero-day zranitelností (zranitelnosti, které výrobce dosud neopravil - PV).

„Finanční společnosti obvykle musí splňovat regulační standardy, takže možnost odhalení hesla je téměř nemožná. Nejpravděpodobnější možností je útok prostřednictvím zranitelnosti nulového dne. Hackeři tedy vzdáleně odesílají chybové datové segmenty, které způsobí, že se software při zpracování dostane do nekontrolovaného stavu.“

„Dále hacker spustí vzdálené spuštění kódu a převezme kontrolu nad servisním serverem. Z tohoto serveru hacker dále shromažďuje informace, používá získané administrátorské účty k útoku na další servery v síti a nakonec spouští nástroje pro šifrování dat za účelem vydírání,“ analyzoval expert Vu Ngoc Son.

Lekce 2 – Odborníci ukazují, jak reagovat na útoky ransomwaru

15. dubna je lhůta, kterou mají společnosti zabývající se cennými papíry, aby dokončily přezkum a posouzení informační bezpečnosti a zavedly opatření k překonání rizik a slabých stránek systémů, včetně systému obsluhujícího online transakce s cennými papíry.