Χάκερ «Path» διεισδύουν στο σύστημα για να επιτεθούν στην κρυπτογράφηση δεδομένων

Επέκταση του «εφιάλτη» του κακόβουλου λογισμικού κρυπτογράφησης δεδομένων

Η κυβερνοεπίθεση στο σύστημα VNDIRECT, μιας εταιρείας που βρίσκεται στις 3 κορυφαίες εταιρείες του χρηματιστηρίου του Βιετνάμ, η οποία έλαβε χώρα το πρωί της 24ης Μαρτίου, έχει ουσιαστικά επιλυθεί. Τα δεδομένα έχουν αποκωδικοποιηθεί και το σύστημα αναζήτησης "Ο Λογαριασμός μου" έχει επανέλθει σε λειτουργία.

Το VNDIRECT ανέφερε ότι το περιστατικό στις 24 Μαρτίου πραγματοποιήθηκε από μια επαγγελματική ομάδα επιθέσεων, με αποτέλεσμα την κρυπτογράφηση όλων των εταιρικών δεδομένων. Οι επιθέσεις κακόβουλου λογισμικού κρυπτογράφησης δεδομένων - το ransomware ήταν πάντα ένας εφιάλτης για επιχειρήσεις και οργανισμούς σε όλο τον κόσμο τα τελευταία χρόνια, λόγω των σοβαρών συνεπειών που μπορεί να προκαλέσει. Οι ειδικοί παρομοιάζουν επίσης το ransomware με έναν «εφιάλτη» και ένα «φάντασμα» στον κυβερνοχώρο.

Σύμφωνα με τον οδικό χάρτη που ανακοινώθηκε στους πελάτες και τους συνεργάτες της VNDIRECT, η λειτουργική μονάδα θα συνεχίσει να ανοίγει σταδιακά συστήματα, προϊόντα και άλλες υπηρεσίες κοινής ωφέλειας. Αυτή η μονάδα σχεδιάζει να ελέγξει τη ροή με τα χρηματιστήρια στις 28 Μαρτίου.

Ωστόσο, από την ανάλυση των ειδικών στην ασφάλεια πληροφοριών, μπορεί να φανεί ότι οι δύσκολες μέρες της ομάδας τεχνολογίας VNDIRECT και των ειδικών που σαρώνουν για τρωτά σημεία και διορθώνουν πλήρως το πρόβλημα είναι ακόμα μεγάλες. Το ransomware δεν είναι μια νέα μορφή κυβερνοεπίθεσης, αλλά είναι πολύ περίπλοκο, απαιτώντας πολύ χρόνο για τον καθαρισμό των δεδομένων, την πλήρη επαναφορά του συστήματος και την επαναφορά της κανονικής λειτουργίας.

«Για να διορθωθεί πλήρως μια επίθεση ransomware, μερικές φορές η λειτουργική μονάδα πρέπει να αλλάξει την αρχιτεκτονική του συστήματος, ειδικά το σύστημα δημιουργίας αντιγράφων ασφαλείας. Επομένως, με το περιστατικό που αντιμετωπίζει το VNDIRECT, πιστεύουμε ότι θα χρειαστεί περισσότερος χρόνος, ακόμη και μήνες, για να ανακάμψει πλήρως το σύστημα», δήλωσε ο Τεχνικός Διευθυντής του NCS, Vu Ngoc Son.

Ο κ. Nguyen Minh Hai, Τεχνικός Διευθυντής της Fortinet Vietnam, δήλωσε ότι ανάλογα με τη σοβαρότητα της επίθεσης, την ικανότητα προετοιμασίας εκ των προτέρων και την αποτελεσματικότητα του σχεδίου αντίδρασης, ο χρόνος που απαιτείται για την ανάκτηση του συστήματος μετά από μια επίθεση ransomware μπορεί να ποικίλλει σημαντικά, από λίγες ώρες έως αρκετές εβδομάδες για πλήρη ανάκτηση, ειδικά σε περιπτώσεις όπου χρειάζεται να ανακτηθεί μεγάλος όγκος δεδομένων.

«Μέρος αυτής της διαδικασίας ανάκτησης περιλαμβάνει τη διασφάλιση ότι το κακόβουλο λογισμικό κρυπτογράφησης δεδομένων έχει αφαιρεθεί πλήρως από το δίκτυο και ότι δεν έχουν μείνει πίσω backdoors που θα μπορούσαν να επιτρέψουν στους εισβολείς να ανακτήσουν την πρόσβαση», δήλωσε ο Nguyen Minh Hai.

Οι ειδικοί σχολίασαν επίσης ότι, εκτός από το ότι αποτέλεσε «κλήση αφύπνισης» για τις μονάδες που διαχειρίζονται και λειτουργούν σημαντικά συστήματα πληροφοριών στο Βιετνάμ, η κυβερνοεπίθεση στο VNDIRECT έδειξε για άλλη μια φορά το επίπεδο κινδύνου των ransomware.

Πριν από περισσότερα από 6 χρόνια, το WannaCry και οι παραλλαγές του κακόβουλου λογισμικού κρυπτογράφησης δεδομένων προκάλεσαν «δυσκολίες» σε πολλές επιχειρήσεις και οργανισμούς, όταν εξαπλώθηκε γρήγορα σε περισσότερους από 300.000 υπολογιστές σε σχεδόν 100 χώρες και περιοχές σε όλο τον κόσμο , συμπεριλαμβανομένου του Βιετνάμ.

Τα τελευταία χρόνια, οι επιχειρήσεις ανησυχούν πάντα για τις επιθέσεις ransomware. Πέρυσι, ο κυβερνοχώρος του Βιετνάμ κατέγραψε πολλές επιθέσεις ransomware με σοβαρές συνέπειες. Υπήρξαν περιπτώσεις όπου οι χάκερ όχι μόνο κρυπτογράφησαν δεδομένα για να ζητήσουν λύτρα, αλλά και πούλησαν τα δεδομένα σε τρίτους για να μεγιστοποιήσουν το ποσό των χρημάτων που εισέπραξαν. Σύμφωνα με τα στατιστικά στοιχεία του NCS, το 2023, καταγράφηκαν έως και 83.000 υπολογιστές και διακομιστές στο Βιετνάμ που δέχτηκαν επίθεση από ransomware.

Κοινές «διαδρομές» για διείσδυση στο σύστημα

Η ομάδα τεχνολογίας της VNDIRECT συνεργάζεται με ειδικούς στην ασφάλεια πληροφοριών για την ανάπτυξη λύσεων για την πλήρη αποκατάσταση του συστήματος, διασφαλίζοντας παράλληλα την ασφάλειά του. Η αιτία του συμβάντος και η «διαδρομή» που χρησιμοποίησε ο χάκερ για να διεισδύσει στο σύστημα εξακολουθούν να διερευνώνται.

Σύμφωνα με τον κ. Ngo Tuan Anh, Διευθύνοντα Σύμβουλο της SCS Smart Network Security Company, για να επιτεθούν στην κρυπτογράφηση δεδομένων, οι χάκερ συχνά επιλέγουν να διεισδύσουν στον διακομιστή που περιέχει σημαντικά δεδομένα και να τα κρυπτογραφήσουν. Υπάρχουν 2 τρόποι που χρησιμοποιούν συχνά οι χάκερ για να διεισδύσουν στο σύστημα των μονάδων, οι οποίοι είναι απευθείας μέσω των τρωτών σημείων και των αδυναμιών του συστήματος διακομιστή ή επιλέγουν να "παρακάμψουν" τον υπολογιστή του διαχειριστή και από εκεί να πάρουν τον έλεγχο του συστήματος.

Μιλώντας στο VietNamNet , ο κ. Vu The Hai, Επικεφαλής του Τμήματος Παρακολούθησης Ασφάλειας Πληροφοριών της εταιρείας VSEC, επεσήμανε επίσης ορισμένες δυνατότητες για τους χάκερ να διεισδύσουν και να εγκαταστήσουν κακόβουλο λογισμικό στο σύστημα: Εκμετάλλευση υπαρχόντων τρωτών σημείων στο σύστημα για να πάρουν τον έλεγχο και να εγκαταστήσουν κακόβουλο λογισμικό· αποστολή email με συνημμένα αρχεία που περιέχουν κακόβουλο λογισμικό για να εξαπατήσουν χρήστες στο ανοιχτό σύστημα, ενεργοποίηση κακόβουλου λογισμικού· σύνδεση στο σύστημα από διαρροή κωδικών πρόσβασης ή αδύναμους κωδικούς πρόσβασης χρηστών του συστήματος.

Ο ειδικός Vu Ngoc Son ανέλυσε ότι με τις επιθέσεις ransomware, οι χάκερ συχνά εισέρχονται στο σύστημα μέσω διαφόρων τρόπων, όπως η ανίχνευση κωδικών πρόσβασης, η εκμετάλλευση ευπαθειών του συστήματος, κυρίως ευπάθειες zero-day (ευπάθειες που ο κατασκευαστής δεν έχει ακόμη διορθώσει - PV).

«Οι χρηματοπιστωτικές εταιρείες συνήθως πρέπει να πληρούν τα κανονιστικά πρότυπα, επομένως η πιθανότητα ανακάλυψης κωδικού πρόσβασης είναι σχεδόν αδύνατη. Η πιο πιθανή πιθανότητα είναι μια επίθεση μέσω μιας ευπάθειας zero-day. Συνεπώς, οι χάκερ στέλνουν εξ αποστάσεως τμήματα δεδομένων που προκαλούν σφάλματα, τα οποία προκαλούν την ανεξέλεγκτη κατάσταση του λογισμικού κατά την επεξεργασία του.»

«Στη συνέχεια, ο χάκερ εκτελεί απομακρυσμένη εκτέλεση κώδικα και αναλαμβάνει τον έλεγχο του διακομιστή υπηρεσιών. Από αυτόν τον διακομιστή, ο χάκερ συνεχίζει να συλλέγει πληροφορίες, χρησιμοποιεί τους λογαριασμούς διαχειριστή που έχει αποκτήσει για να επιτεθεί σε άλλους διακομιστές στο δίκτυο και, τέλος, εκτελεί εργαλεία κρυπτογράφησης δεδομένων για εκβιασμό», ανέλυσε ο ειδικός Vu Ngoc Son.

Μάθημα 2 - Οι ειδικοί δείχνουν πώς να αντιδράτε σε επιθέσεις ransomware

Η 15η Απριλίου είναι η προθεσμία για τις χρηματιστηριακές εταιρείες να ολοκληρώσουν την αναθεώρηση και την αξιολόγηση της ασφάλειας των πληροφοριών και να εφαρμόσουν μέτρα για την αντιμετώπιση των κινδύνων και των αδυναμιών των συστημάτων, συμπεριλαμβανομένου του συστήματος που εξυπηρετεί τις ηλεκτρονικές συναλλαγές κινητών αξιών.