Πόσο επικίνδυνο είναι το ransomware Lockbit 3.0 που επιτίθεται στο VNDIRECT;

Κυκλοφόρησε η έκθεση ανάλυσης του LockBit 3.0 Ransomware

Κατά τη διάρκεια των 3 εβδομάδων από τις 24 Μαρτίου έως την πρώτη εβδομάδα του Απριλίου του τρέχοντος έτους, ο κυβερνοχώρος του Βιετνάμ κατέγραψε διαδοχικές στοχευμένες επιθέσεις με τη μορφή ransomware σε μεγάλες βιετναμέζικες επιχειρήσεις που δραστηριοποιούνται σε σημαντικούς τομείς όπως τα χρηματοοικονομικά, οι κινητές αξίες, η ενέργεια, οι τηλεπικοινωνίες κ.λπ. Αυτές οι επιθέσεις προκάλεσαν την αναστολή των συστημάτων των επιχειρήσεων για ένα χρονικό διάστημα, προκαλώντας σημαντική οικονομική ζημία και ζημία στη φήμη των μονάδων των οποίων τα συστήματα έγιναν στόχος ομάδων κυβερνοεγκληματιών.

Κατά τη διαδικασία ανάλυσης και διερεύνησης των αιτιών και των ομάδων υποκειμένων που έχουν πρόσφατα επιτεθεί στα συστήματα πληροφοριών βιετναμέζικων επιχειρήσεων, οι αρχές διαπίστωσαν ότι αυτά τα περιστατικά ήταν «προϊόντα» πολλών διαφορετικών ομάδων επίθεσης όπως οι LockBit, BlackCat, Mallox... Συγκεκριμένα, με την επίθεση ransomware στο σύστημα VNDIRECT στις 10:00 π.μ. στις 24 Μαρτίου, η οποία κρυπτογράφησε όλα τα δεδομένα επιχειρήσεων στις 3 κορυφαίες εταιρείες της χρηματιστηριακής αγοράς του Βιετνάμ, οι αρχές ταυτοποίησαν την ομάδα LockBit με το κακόβουλο λογισμικό LockBit 3.0 ως υπεύθυνη για αυτό το περιστατικό.

Παγκοσμίως , η ομάδα LockBit έχει εξαπολύσει πολλές επιθέσεις ransomware που στοχεύουν μεγάλες επιχειρήσεις και οργανισμούς. Για παράδειγμα, το 2023, τον Ιούνιο και τον Οκτώβριο αντίστοιχα, αυτή η διαβόητη ομάδα ransomware επιτέθηκε στην Semiconductor Manufacturing Company TSMC (Ταϊβάν, Κίνα) και στην Information Technology Products and Services Company CDW, με το ποσό των λύτρων δεδομένων που η ομάδα Lockbit απαίτησε από τις επιχειρήσεις να πληρώσουν έως και 70-80 εκατομμύρια δολάρια ΗΠΑ.

Με την επιθυμία να βοηθήσει τους οργανισμούς, τις υπηρεσίες και τις επιχειρήσεις στο Βιετνάμ να κατανοήσουν καλύτερα το επίπεδο κινδύνου και τον τρόπο πρόληψης και ελαχιστοποίησης των κινδύνων από επιθέσεις ransomware γενικότερα, καθώς και από επιθέσεις της ομάδας LockBit, το Εθνικό Κέντρο Παρακολούθησης Κυβερνοασφάλειας - NCSC στο πλαίσιο του Υπουργείου Ασφάλειας Πληροφοριών (Υπουργείο Πληροφοριών και Επικοινωνιών) μόλις συνέθεσε πηγές πληροφοριών για τον κυβερνοχώρο και δημοσίευσε την «Έκθεση Ανάλυσης για το ransomware LockBit 3.0».

Η πιο επικίνδυνη ομάδα ransomware στον κόσμο

Η νέα έκθεση που διεξήγαγε το NCSC επικεντρώνεται στην παροχή 4 κύριων περιεχομένων, όπως: Πληροφορίες σχετικά με την ομάδα επιθέσεων ransomware LockBit· Ενεργά συμπλέγματα LockBit· Λίστα καταγεγραμμένων δεικτών κυβερνοεπιθέσεων που σχετίζονται με το LockBit 3.0· Πώς να αποτρέψετε και να ελαχιστοποιήσετε τους κινδύνους από επιθέσεις ransomware.

Αναγνωρίζοντας την LockBit ως μία από τις πιο επικίνδυνες ομάδες ransomware στον κόσμο, η έκθεση του NCSC ανέφερε επίσης ότι από την πρώτη της εμφάνιση το 2019, η LockBit έχει πραγματοποιήσει πολυάριθμες επιθέσεις που στοχεύουν επιχειρήσεις και οργανισμούς σε διάφορους τομείς. Η ομάδα λειτουργεί με βάση το μοντέλο «Ransomware-as-a-Service (RaaS)», επιτρέποντας στους απειλητικούς παράγοντες να αναπτύσσουν ransomware και να μοιράζονται τα κέρδη με όσους βρίσκονται πίσω από την υπηρεσία.

Αξίζει να σημειωθεί ότι τον Σεπτέμβριο του 2022, ο πηγαίος κώδικας του LockBit 3.0, συμπεριλαμβανομένων ορισμένων από τα ονόματα που θα μπορούσαν να χρησιμοποιηθούν για την ανάπτυξη αυτού του ransomware, διέρρευσε από ένα άτομο με το όνομα «ali_qushji» στην πλατφόρμα X (πρώην Twitter). Η διαρροή επέτρεψε στους ειδικούς να αναλύσουν περαιτέρω το δείγμα ransomware του LockBit 3.0, αλλά έκτοτε, οι απειλητικοί παράγοντες έχουν δημιουργήσει ένα κύμα νέων παραλλαγών ransomware με βάση τον πηγαίο κώδικα του LockBit 3.0.

Παράλληλα με την ανάλυση των μεθόδων επίθεσης των ενεργών συμπλεγμάτων ransomware LockBit, όπως τα TronBit, CriptomanGizmo ή Tina Turnet, η έκθεση του NCSC παρέχει επίσης στις μονάδες μια λίστα με δείκτες κυβερνοεπιθέσεων που σχετίζονται με το LockBit 3.0 και έχουν καταγραφεί. «Θα ενημερώνουμε συνεχώς τις πληροφορίες των δεικτών IOC στη σελίδα alert.khonggianmang.vn της εθνικής πύλης κυβερνοχώρου», δήλωσε ένας ειδικός του NCSC.

Ένα ιδιαίτερα σημαντικό μέρος που αναφέρεται στην «Έκθεση Ανάλυσης Ransomware LockBit 3.0» είναι το περιεχόμενο που καθοδηγεί οργανισμούς, οργανισμούς και επιχειρήσεις σχετικά με τον τρόπο πρόληψης και ελαχιστοποίησης των κινδύνων από επιθέσεις ransomware. Σημαντικές σημειώσεις για την υποστήριξη των μονάδων στο Βιετνάμ στην πρόληψη και την αντιμετώπιση επιθέσεων ransomware έχουν αναφερθεί από το Υπουργείο Ασφάλειας Πληροφοριών στο «Εγχειρίδιο για ορισμένα μέτρα για την πρόληψη και την ελαχιστοποίηση των κινδύνων από επιθέσεις ransomware» που κυκλοφόρησε στις 6 Απριλίου και συνεχίζουν να συνιστώνται για εφαρμογή από τους εμπειρογνώμονες του NCSC.

Σύμφωνα με τους ειδικούς, οι επιθέσεις ransomware σήμερα συχνά ξεκινούν από μια αδυναμία ασφαλείας ενός οργανισμού ή μιας υπηρεσίας. Οι εισβολείς διεισδύουν στο σύστημα, διατηρούν την παρουσία τους, επεκτείνουν το πεδίο εφαρμογής της εισβολής, ελέγχουν την υποδομή IT του οργανισμού και παραλύουν το σύστημα, με στόχο να αναγκάσουν τους πραγματικούς οργανισμούς-θύματα να πληρώσουν λύτρα εάν θέλουν να ανακτήσουν κρυπτογραφημένα δεδομένα.

Μοιραζόμενος με τους δημοσιογράφους του VietNamNet τη στιγμή που σημειώθηκε η επίθεση στο σύστημα VNDIRECT πριν από 5 ημέρες, από την οπτική γωνία της μονάδας που συμμετείχε στον συντονισμό των δραστηριοτήτων υποστήριξης αντιμετώπισης περιστατικών, ένας εκπρόσωπος του Τμήματος Ασφάλειας Πληροφοριών σχολίασε: Αυτό το περιστατικό αποτελεί ένα σημαντικό μάθημα για την ευαισθητοποίηση σχετικά με την ασφάλεια του δικτύου και την προστασία οργανισμών και επιχειρήσεων στο Βιετνάμ.

Συνεπώς, οι φορείς, οι οργανισμοί και οι επιχειρήσεις, ιδίως όσοι δραστηριοποιούνται σε σημαντικούς τομείς όπως τα χρηματοοικονομικά, οι τραπεζικές εργασίες, οι κινητές αξίες, η ενέργεια, οι τηλεπικοινωνίες κ.λπ., πρέπει να επανεξετάσουν και να ενισχύσουν επειγόντως και προληπτικά τόσο τα υπάρχοντα συστήματα ασφαλείας όσο και το επαγγελματικό προσωπικό, και ταυτόχρονα να αναπτύξουν σχέδια αντιμετώπισης περιστατικών.

«Οι οργανισμοί πρέπει να συμμορφώνονται αυστηρά με τους κανονισμούς, τις απαιτήσεις και τις οδηγίες σχετικά με την ασφάλεια των πληροφοριών και την ασφάλεια δικτύων που έχουν εκδοθεί. Αυτή είναι η ευθύνη κάθε οργανισμού και επιχείρησης να προστατεύει τον εαυτό του και τους πελάτες του από πιθανές κυβερνοεπιθέσεις», τόνισε ένας εκπρόσωπος του Τμήματος Ασφάλειας Πληροφοριών.

Γιατί μπορεί το σύστημα PVOIL να ανακάμψει γρήγορα μετά από επίθεση ransomware;

Εκτός από το όχι και τόσο μεγάλο μέγεθος του συστήματος, ένας σημαντικός παράγοντας για την ταχεία διόρθωση της επίθεσης ransomware από το PVOIL και την επαναφορά των λειτουργιών μετά από λίγες μόνο ημέρες είναι τα δεδομένα αντιγράφων ασφαλείας.

Διαμόρφωση μιας κουλτούρας ασφάλειας για την αύξηση της άμυνας έναντι επιθέσεων ransomware

Σύμφωνα με την CDNetworks Vietnam, επενδύοντας στην εκπαίδευση των εργαζομένων, στη διαμόρφωση μιας κουλτούρας ασφάλειας και στην προώθηση της συνεργασίας μεταξύ των εργαζομένων και της ομάδας ασφαλείας, οι επιχειρήσεις μπορούν να αυξήσουν την άμυνά τους έναντι των κυβερνοεπιθέσεων, συμπεριλαμβανομένων των επιθέσεων ransomware.

Η πληρωμή λύτρων θα ενθαρρύνει τους χάκερ να αυξήσουν τις επιθέσεις ransomware

Οι ειδικοί συμφωνούν ότι οι οργανισμοί που δέχονται επίθεση από ransomware δεν θα πρέπει να πληρώνουν τα λύτρα σε χάκερ. Αυτό θα ενθαρρύνει τους χάκερ να επιτεθούν σε άλλους στόχους ή θα ενθαρρύνει άλλες ομάδες χάκερ να συνεχίσουν να επιτίθενται στο σύστημά τους.