Der Cyberangriff auf das VNDIRECT-System am 24. März wurde als Ransomware-Angriff mit Datenverschlüsselung identifiziert. Diese Art von Angriffen stellt im digitalen Zeitalter ein großes Problem für Unternehmen und Organisationen dar. Um Lesern mehr über Ransomware-Angriffe, das Gefahrenniveau sowie Präventions- und Reaktionsmaßnahmen zu vermitteln, hat VietNamNet eine Artikelserie mit dem Titel „Die existenzielle Gefahr durch Datenverschlüsselungsangriffe“ veröffentlicht.

Der „Albtraum“ der Datenverschlüsselungs-Malware wird weiter ausgebaut

Der Cyberangriff auf das System von VNDIRECT, einem Unternehmen aus den Top 3 der vietnamesischen Börse, der sich am Morgen des 24. März ereignete, ist mittlerweile im Wesentlichen behoben. Die Daten wurden entschlüsselt und das My Account-Suchsystem ist wieder betriebsbereit.

VNDIRECT berichtete, dass der Vorfall am 24. März von einer professionellen Angreifergruppe verübt wurde, die zur Verschlüsselung sämtlicher Unternehmensdaten führte. Angriffe mit Malware zur Datenverschlüsselung – Ransomware – waren in den letzten Jahren aufgrund der schwerwiegenden Folgen, die sie verursachen können, für Unternehmen und Organisationen weltweit ein Albtraum. Experten vergleichen Ransomware auch mit einem „Albtraum“ und „Gespenst“ im Cyberspace.

Experten gehen davon aus, dass mehr Zeit benötigt wird, um den Angriff auf das VNDIRECT-System vollständig zu beheben. Foto: DL

Gemäß der Roadmap, die VNDIRECT seinen Kunden und Partnern bekannt gegeben hat, wird die operative Einheit Systeme, Produkte und andere Dienstprogramme schrittweise wieder öffnen. Diese Einheit plant, am 28. März den Fluss mit den Börsen zu überprüfen.

Aus der Analyse von Informationssicherheitsexperten geht jedoch hervor, dass die harte Arbeit des VNDIRECT-Technologieteams und der Experten, die nach Schwachstellen suchen und das Problem gründlich beheben, noch lange dauern wird. Ransomware ist keine neue Form von Cyberangriffen, aber sie ist sehr kompliziert und erfordert viel Zeit, um Daten zu bereinigen, das System vollständig wiederherzustellen und den normalen Betrieb wiederherzustellen.

„Um einen Ransomware-Angriff vollständig zu beheben, muss die Betriebseinheit manchmal die Systemarchitektur ändern, insbesondere das Backup-System. Angesichts des Vorfalls, mit dem VNDIRECT konfrontiert ist, gehen wir davon aus, dass es länger dauern wird, bis sich das System vollständig erholt hat, sogar Monate“, sagte Vu Ngoc Son, technischer Direktor von NCS.

Herr Nguyen Minh Hai, Technischer Direktor von Fortinet Vietnam, sagte, dass die zur Wiederherstellung des Systems nach einem Ransomware-Angriff benötigte Zeit je nach Schwere des Angriffs, der Fähigkeit zur Vorbereitung im Voraus und der Wirksamkeit des Reaktionsplans stark variieren kann und von einigen Stunden bis zu mehreren Wochen für eine vollständige Wiederherstellung reichen kann, insbesondere in Fällen, in denen eine große Datenmenge wiederhergestellt werden muss.

„Teil dieses Wiederherstellungsprozesses ist die Sicherstellung, dass die Datenverschlüsselungs-Malware vollständig aus dem Netzwerk entfernt wurde und dass keine Hintertüren zurückgeblieben sind, die es Angreifern ermöglichen könnten, erneut Zugriff zu erhalten“, sagte Nguyen Minh Hai.

Experten kommentierten außerdem, dass der Cyberangriff auf VNDIRECT nicht nur ein „Weckruf“ für die Einheiten sei, die wichtige Informationssysteme in Vietnam verwalten und betreiben, sondern auch erneut die Gefährlichkeit von Ransomware aufgezeigt habe.

Vor mehr als sechs Jahren brachten WannaCry und seine Varianten der Datenverschlüsselungs-Malware viele Unternehmen und Organisationen in Schwierigkeiten, als sie sich schnell auf mehr als 300.000 Computer in fast 100 Ländern und Gebieten auf der ganzen Welt , darunter auch Vietnam, ausbreiteten.

In den letzten Jahren waren Unternehmen stets besorgt über Ransomware-Angriffe. Im vergangenen Jahr verzeichnete der vietnamesische Cyberspace zahlreiche Ransomware-Angriffe mit schwerwiegenden Folgen. Dabei gab es Fälle, in denen Hacker nicht nur Daten verschlüsselten, um Lösegeld zu fordern, sondern diese auch an Dritte verkauften, um den eingenommenen Betrag zu maximieren. Laut NCS-Statistiken wurden im Jahr 2023 bis zu 83.000 Computer und Server in Vietnam von Ransomware-Angriffen heimgesucht.

Gängige „Wege“, um in das System einzudringen

Das Technologieteam von VNDIRECT arbeitet mit Informationssicherheitsexperten zusammen, um Lösungen zur vollständigen Wiederherstellung des Systems unter Gewährleistung der Systemsicherheit zu entwickeln. Die Ursache des Vorfalls und der „Weg“, den der Hacker zum Eindringen in das System nutzte, werden noch untersucht.

Laut Ngo Tuan Anh, CEO der SCS Smart Network Security Company, dringen Hacker bei Angriffen auf die Datenverschlüsselung häufig in Server mit wichtigen Daten ein und verschlüsseln diese. Hacker nutzen hierfür zwei Methoden: Sie gelangen entweder direkt über die Schwachstellen des Serversystems oder über den Administratorcomputer und übernehmen von dort aus die Kontrolle über das System.

Das Erraten von Passwörtern und die Ausnutzung von Zero-Day-Sicherheitslücken sind zwei häufig genutzte Wege, um in das System einzudringen und von dort aus Daten zu Erpressungszwecken zu verschlüsseln. Illustrationsfoto: zephyr_p/Fotolia

Im Gespräch mit VietNamNet wies Herr Vu The Hai, Leiter der Abteilung für Informationssicherheitsüberwachung bei VSEC Company, auch auf einige Möglichkeiten hin, wie Hacker in das System eindringen und Schadsoftware installieren können: Ausnutzen vorhandener Schwachstellen im System, um die Kontrolle zu übernehmen und Schadsoftware zu installieren; Senden von E-Mails mit angehängten Dateien, die Schadsoftware enthalten, um Benutzer im offenen System auszutricksen und Schadsoftware zu aktivieren; Anmelden beim System mit durchgesickerten Passwörtern oder schwachen Passwörtern von Systembenutzern.

Der Experte Vu Ngoc Son analysierte, dass Hacker bei Ransomware-Angriffen häufig auf verschiedene Weise in das System eindringen, beispielsweise durch Ausprobieren von Passwörtern oder durch Ausnutzen von Systemschwachstellen, hauptsächlich Zero-Day-Schwachstellen (Schwachstellen, die der Hersteller noch nicht gepatcht hat – PV).

„Finanzunternehmen müssen in der Regel regulatorische Standards erfüllen, sodass die Möglichkeit einer Passwortermittlung nahezu ausgeschlossen ist. Die wahrscheinlichste Möglichkeit ist ein Angriff über eine Zero-Day-Sicherheitslücke. Dabei versenden Hacker aus der Ferne fehlerverursachende Datensegmente, die bei der Verarbeitung die Software in einen unkontrollierten Zustand versetzen.

Anschließend führt der Hacker eine Remote-Codeausführung aus und übernimmt die Kontrolle über den Service-Server. Von diesem Server aus sammelt der Hacker weiterhin Informationen, nutzt die erlangten Administratorkonten, um andere Server im Netzwerk anzugreifen, und führt schließlich Datenverschlüsselungstools zur Erpressung aus“, analysierte Experte Vu Ngoc Son.

Eine neue Umfrage des Sicherheitsunternehmens Fortinet unter Unternehmen im asiatisch -pazifischen Raum, einschließlich Vietnam, zeigt: Ransomware stellt nach wie vor ein großes Problem dar. Erpressung durch Ransomware-Angriffe ist für Hersteller das größte Cybersicherheitsproblem. 36 % der befragten Unternehmen gaben an, im vergangenen Jahr einen Ransomware-Angriff erlebt zu haben. Das sind 23 % mehr als bei der ähnlichen Umfrage von Fortinet im Jahr 2020.

Lektion 2 – Experten zeigen, wie man auf Ransomware-Angriffe reagiert

Der 15. April ist die Frist für Wertpapierfirmen, die Überprüfung und Bewertung der Informationssicherheit abzuschließen und Maßnahmen zur Überwindung von Risiken und Schwachstellen der Systeme zu ergreifen, einschließlich des Systems, das Online-Wertpapiertransaktionen abwickelt.