Der Cyberangriff auf das VNDIRECT-System am 24. März wurde als Ransomware-Angriff auf Datenverschlüsselung identifiziert. Diese Art von Angriff stellt im digitalen Zeitalter ein großes Problem für Unternehmen und Organisationen dar. Um Lesern mehr über Ransomware-Angriffe, das Ausmaß der Gefahr sowie Präventions- und Reaktionsmaßnahmen zu vermitteln, hat VietNamNet eine Artikelserie zum Thema „Die existenzielle Gefahr durch Datenverschlüsselungsangriffe“ veröffentlicht.

Der „Albtraum“ der Datenverschlüsselungs-Malware wird weiter ausgebaut

Der Cyberangriff auf das System von VNDIRECT, einem Unternehmen unter den Top 3 der vietnamesischen Börse, der sich am Morgen des 24. März ereignete, ist nun im Wesentlichen behoben. Die Daten wurden entschlüsselt und das My Account-Suchsystem ist wieder betriebsbereit.

VNDIRECT berichtete, dass der Vorfall am 24. März von einer professionellen Angreifergruppe verübt wurde, wodurch sämtliche Unternehmensdaten verschlüsselt wurden. Angriffe mit Datenverschlüsselungs-Malware – Ransomware – waren in den letzten Jahren aufgrund ihrer schwerwiegenden Folgen ein Albtraum für Unternehmen und Organisationen weltweit. Experten vergleichen Ransomware auch mit einem „Alptraum“ und einem „Gespenst“ im Cyberspace.

Experten gehen davon aus, dass mehr Zeit nötig ist, um den Angriff auf das VNDIRECT-System vollständig zu beheben. Foto: DL

Gemäß der Roadmap, die VNDIRECT seinen Kunden und Partnern präsentiert hat, wird die operative Einheit Systeme, Produkte und andere Dienstprogramme schrittweise wieder öffnen. Die Einheit plant, am 28. März den Austausch mit den Börsen zu prüfen.

Aus der Analyse von Informationssicherheitsexperten geht jedoch hervor, dass die harte Arbeit des VNDIRECT-Technologieteams und der Experten, die nach Schwachstellen suchen und das Problem gründlich beheben, noch lange dauern wird. Ransomware ist keine neue Form von Cyberangriffen, aber sie ist sehr komplex und erfordert viel Zeit, um Daten zu bereinigen, das System vollständig wiederherzustellen und den normalen Betrieb wiederherzustellen.

„Um einen Ransomware-Angriff vollständig zu beheben, muss die Betriebseinheit manchmal die Systemarchitektur ändern, insbesondere das Backup-System. Angesichts des Vorfalls, mit dem VNDIRECT konfrontiert ist, gehen wir davon aus, dass die vollständige Wiederherstellung des Systems länger, möglicherweise sogar Monate dauern wird“, sagte NCS-Technikdirektor Vu Ngoc Son.

Herr Nguyen Minh Hai, Technischer Direktor von Fortinet Vietnam, sagte, dass die zur Wiederherstellung des Systems nach einem Ransomware-Angriff benötigte Zeit je nach Schwere des Angriffs, der Fähigkeit zur Vorbereitung im Voraus und der Wirksamkeit des Reaktionsplans stark variieren kann und von einigen Stunden bis zu mehreren Wochen für eine vollständige Wiederherstellung reichen kann, insbesondere in Fällen, in denen eine große Datenmenge wiederhergestellt werden muss.

„Teil dieses Wiederherstellungsprozesses ist es sicherzustellen, dass die Datenverschlüsselungs-Malware vollständig aus dem Netzwerk entfernt wurde und dass keine Hintertüren zurückgeblieben sind, über die Angreifer erneut Zugriff erhalten könnten“, sagte Nguyen Minh Hai.

Experten kommentierten außerdem, dass der Cyberangriff auf VNDIRECT nicht nur ein „Weckruf“ für die Einheiten sei, die wichtige Informationssysteme in Vietnam verwalten und betreiben, sondern auch erneut die Gefährlichkeit von Ransomware aufgezeigt habe.

Vor mehr als sechs Jahren brachten WannaCry und seine Varianten der Datenverschlüsselungs-Malware viele Unternehmen und Organisationen in Schwierigkeiten, als sie sich schnell auf mehr als 300.000 Computer in fast 100 Ländern und Gebieten auf der ganzen Welt , darunter auch Vietnam, ausbreiteten.

In den letzten Jahren waren Unternehmen stets besorgt über Ransomware-Angriffe. Im vergangenen Jahr verzeichnete der vietnamesische Cyberspace zahlreiche Ransomware-Angriffe mit schwerwiegenden Folgen. Dabei gab es Fälle, in denen Hacker nicht nur Daten verschlüsselten, um Lösegeld zu fordern, sondern diese auch an Dritte verkauften, um den erbeuteten Betrag zu maximieren. Laut NCS-Statistiken wurden im Jahr 2023 bis zu 83.000 Computer und Server in Vietnam von Ransomware-Angriffen heimgesucht.

Gängige „Wege“, um in das System einzudringen

Das Technologieteam von VNDIRECT arbeitet mit Informationssicherheitsexperten zusammen, um Lösungen zur vollständigen Wiederherstellung des Systems unter Gewährleistung der Systemsicherheit zu entwickeln. Die Ursache des Vorfalls und der „Weg“, den der Hacker zum Eindringen in das System nutzte, werden noch untersucht.

Laut Ngo Tuan Anh, CEO der SCS Smart Network Security Company, dringen Hacker häufig in Server mit wichtigen Daten ein, um die Datenverschlüsselung anzugreifen, und verschlüsseln diese. Hacker nutzen hierfür zwei Möglichkeiten: Sie gelangen entweder direkt über die Schwachstellen des Serversystems oder über den Administratorcomputer und übernehmen von dort aus die Kontrolle über das System.

Das Erraten von Passwörtern und die Ausnutzung von Zero-Day-Sicherheitslücken sind zwei häufige Wege, die Hacker nutzen, um in das System einzudringen und von dort aus Daten zu Erpressungszwecken zu verschlüsseln. Bild: zephyr_p/Fotolia

Im Gespräch mit VietNamNet wies Herr Vu The Hai, Leiter der Abteilung für Informationssicherheitsüberwachung bei der Firma VSEC, auch auf einige Möglichkeiten hin, wie Hacker in das System eindringen und Schadsoftware installieren können: Ausnutzen vorhandener Schwachstellen im System, um die Kontrolle zu übernehmen und Schadsoftware zu installieren; Senden von E-Mails mit angehängten Dateien, die Schadsoftware enthalten, um Benutzer im offenen System auszutricksen und Schadsoftware zu aktivieren; Anmelden beim System mit durchgesickerten Passwörtern oder schwachen Passwörtern von Systembenutzern.

Der Experte Vu Ngoc Son analysierte, dass Hacker bei Ransomware-Angriffen häufig auf verschiedenen Wegen in das System eindringen, beispielsweise durch Ausprobieren von Passwörtern oder durch Ausnutzen von Systemschwachstellen, hauptsächlich Zero-Day-Schwachstellen (Schwachstellen, die der Hersteller noch nicht gepatcht hat – PV).

Finanzunternehmen müssen in der Regel regulatorische Standards erfüllen, sodass die Möglichkeit einer Passwortermittlung nahezu ausgeschlossen ist. Die wahrscheinlichste Möglichkeit ist ein Angriff über eine Zero-Day-Sicherheitslücke. Dabei versenden Hacker fehlerverursachende Datensegmente aus der Ferne, die bei der Verarbeitung die Software in einen unkontrollierten Zustand versetzen.

Anschließend führt der Hacker eine Remote-Code-Ausführung aus und übernimmt die Kontrolle über den Service-Server. Von diesem Server aus sammelt er weiterhin Informationen, nutzt die erlangten Administratorkonten, um andere Server im Netzwerk anzugreifen, und führt schließlich Datenverschlüsselungstools zur Erpressung aus“, analysierte Experte Vu Ngoc Son.

Eine neue Umfrage des Sicherheitsunternehmens Fortinet unter Unternehmen im asiatisch -pazifischen Raum, einschließlich Vietnam, zeigt: Ransomware stellt nach wie vor ein großes Problem dar. Erpressung durch Ransomware-Angriffe ist für Hersteller das größte Cybersicherheitsproblem. 36 % der befragten Unternehmen gaben an, im vergangenen Jahr einen Ransomware-Angriff erlebt zu haben – ein Anstieg von 23 % gegenüber der ähnlichen Umfrage von Fortinet im Jahr 2020.

Lektion 2 – Experten zeigen, wie man auf Ransomware-Angriffe reagiert

Der 15. April ist die Frist für Wertpapierfirmen, die Überprüfung und Bewertung der Informationssicherheit abzuschließen und Maßnahmen zur Überwindung von Risiken und Schwachstellen der Systeme zu ergreifen, einschließlich des Systems, das Online-Wertpapiertransaktionen abwickelt.