Mennyire veszélyes a VNDIRECT-et támadó Lockbit 3.0 zsarolóvírus?

Kiadták a LockBit 3.0 zsarolóvírus-elemzési jelentését

Idén március 24-től április első hetéig tartó 3 hétben Vietnam kibertere egymást követő célzott támadásokat regisztrált zsarolóvírusok formájában olyan fontos területeken működő nagy vietnami vállalatok ellen, mint a pénzügy, az értékpapírok, az energia, a telekommunikáció stb. Ezek a támadások a vállalatok rendszereinek időleges felfüggesztését okozták, jelentős gazdasági és hírnévkárosodást okozva azoknak az egységeknek, amelyek rendszereit kiberbűnözői csoportok célozták meg.

A vietnami vállalatok információs rendszereit a közelmúltban támadó alanyok és okok elemzése és kivizsgálása során a hatóságok megállapították, hogy ezek az incidensek számos különböző támadócsoport, például a LockBit, a BlackCat, a Mallox... „termékei” voltak. Különösen a március 24-én 10:00 órakor a VNDIRECT rendszer ellen elkövetett zsarolóvírus-támadással kapcsolatban, amely a vietnami tőzsde top 3-ában szereplő vállalatok összes adatát titkosította, a hatóságok a LockBit csoportot és a LockBit 3.0 rosszindulatú programot azonosították az incidens mögött.

A LockBit csoport világszerte számos zsarolóvírus-támadást indított nagyvállalatok és szervezetek ellen. Például 2023 júniusában, illetve októberében ez a hírhedt zsarolóvírus-csoport a Semiconductor Manufacturing Company TSMC-t (Tajvan, Kína) és az Information Technology Products and Services Company CDW-t támadta meg, olyan adatváltságdíjjal, amelyet a Lockbit csoport 70-80 millió USD összegű váltságdíjat követelt a vállalkozásoktól.

Azzal a szándékkal, hogy segítsen a vietnami ügynökségeknek, szervezeteknek és vállalkozásoknak jobban megérteni a veszély szintjét, valamint azt, hogyan előzhetik meg és minimalizálhatják a zsarolóvírus-támadások, valamint a LockBit csoport támadásainak kockázatait, az Információbiztonsági Minisztérium (Információs és Kommunikációs Minisztérium) Nemzeti Kiberbiztonsági Megfigyelőközpontja (NCSC) nemrégiben szintetizálta a kibertérrel kapcsolatos információforrásokat, és kiadta a „LockBit 3.0 zsarolóvírusokról szóló elemző jelentést”.

A világ legveszélyesebb zsarolóvírus-csoportja

Az NCSC által készített új jelentés 4 fő tartalomra összpontosít, beleértve: Információk a LockBit zsarolóvírus-támadási csoportról; Aktív LockBit klaszterek; A LockBit 3.0-hoz kapcsolódó rögzített kibertámadási indikátorok listája; Hogyan előzhető meg és minimalizálhatók a zsarolóvírus-támadások kockázatai.

Az NCSC jelentése a LockBitet a világ egyik legveszélyesebb zsarolóvírus-csoportjaként azonosította, és azt is kimondta, hogy 2019-es első megjelenése óta a LockBit számos támadást hajtott végre különböző ágazatokban működő vállalkozások és szervezetek ellen. A csoport egy „zsarolóvírus-szolgáltatásként (RaaS)” modell alapján működik, amely lehetővé teszi a kiberfenyegetők számára, hogy zsarolóvírusokat telepítsenek, és megosszák a profitot a szolgáltatás mögött állókkal.

Figyelemre méltó, hogy 2022 szeptemberében egy „ali_qushji” nevű személy szivárogtatta ki a LockBit 3.0 forráskódját, beleértve néhány olyan nevet is, amelyeket a zsarolóvírus fejlesztéséhez felhasználhattak, az X platformon (korábban Twitter). A szivárgás lehetővé tette a szakértők számára, hogy tovább elemezzék a LockBit 3.0 zsarolóvírus-mintát, de azóta a fenyegető szereplők a LockBit 3.0 forráskódja alapján új zsarolóvírus-variánsok hullámát hozták létre.

Az aktív LockBit zsarolóvírus-klaszterek, például a TronBit, a CriptomanGizmo vagy a Tina Turnet támadási módszereinek elemzése mellett az NCSC jelentése a LockBit 3.0-hoz kapcsolódó, rögzített kibertámadási indikátorok listáját is megadja az egységeknek. „Folyamatosan frissíteni fogjuk az IOC indikátorinformációit a nemzeti kibertér portál alert.khonggianmang.vn oldalán” – mondta az NCSC egyik szakértője.

A „LockBit 3.0 zsarolóvírus-elemzési jelentés” különösen fontos részét képezi annak a tartalomnak, amely útmutatóként szolgál az ügynökségeknek, szervezeteknek és vállalkozásoknak a zsarolóvírus-támadások kockázatainak megelőzéséhez és minimalizálásához. Az Információbiztonsági Minisztérium az április 6-án kiadott „Kézikönyv a zsarolóvírus-támadások kockázatainak megelőzésére és minimalizálására irányuló intézkedésekről” című dokumentumban fontos megjegyzéseket tett a vietnami egységek támogatására a zsarolóvírus-támadások megelőzésében és az azokra való reagálásban, és az NCSC szakértői továbbra is javasolják ezek végrehajtását.

Szakértők szerint a zsarolóvírus-támadások manapság gyakran egy ügynökség vagy szervezet biztonsági gyengeségéből indulnak ki. A támadók behatolnak a rendszerbe, jelenlétüket fenntartják, kiterjesztik a behatolás hatókörét, irányítják a szervezet informatikai infrastruktúráját és megbénítják a rendszert azzal a céllal, hogy a valódi áldozattá vált szervezeteket váltságdíj fizetésére kényszerítsék, ha titkosított adatokat akarnak visszaszerezni.

Az Információbiztonsági Minisztérium egyik képviselője a VietNamNet újságíróival megosztva a VNDIRECT rendszer elleni támadás 5 nappal ezelőtti időpontjában az incidensre adott válasz támogató tevékenységek koordinálásában részt vevő egység szemszögéből a következőket mondta: Ez az incidens fontos tanulság a vietnami szervezetek és vállalkozások hálózati biztonságával kapcsolatos tudatosság növelésére.

Ezért az ügynökségeknek, szervezeteknek és vállalkozásoknak, különösen azoknak, amelyek olyan fontos területeken működnek, mint a pénzügy, a banki szektor, az értékpapírok, az energia, a telekommunikáció stb., sürgősen és proaktívan felül kell vizsgálniuk és meg kell erősíteniük mind a meglévő biztonsági rendszereket, mind a szakmai személyzetet, és ezzel egyidejűleg ki kell dolgozniuk az incidensekre vonatkozó reagálási terveket.

„A szervezeteknek szigorúan be kell tartaniuk az információbiztonságra és a hálózatbiztonságra vonatkozó kiadott szabályozásokat, követelményeket és irányelveket. Minden szervezet és vállalkozás felelőssége, hogy megvédje magát és ügyfeleit a potenciális kibertámadásoktól” – hangsúlyozta az Információbiztonsági Osztály képviselője.

Miért képes a PVOIL rendszer gyorsan helyreállni egy zsarolóvírus-támadás után?

A nem túl nagy rendszerméret mellett a PVOIL számára a zsarolóvírus-támadás gyors elhárítása és a működés visszaállítása érdekében a biztonsági mentési adatok is fontos tényezőt jelentenek.

Biztonsági kultúra kialakítása a zsarolóvírus-támadások elleni védelem fokozása érdekében

A CDNetworks Vietnam szerint a munkavállalók képzésébe való befektetéssel, a biztonsági kultúra kialakításával, valamint a munkavállalók és a biztonsági csapat közötti együttműködés előmozdításával a vállalkozások növelhetik védekezésüket a kibertámadásokkal, beleértve a zsarolóvírus-támadásokat is.

A váltságdíjfizetés arra ösztönzi a hackereket, hogy növeljék a zsarolóvírus-támadások számát

A szakértők egyetértenek abban, hogy a zsarolóvírusok által megtámadott szervezeteknek nem szabad váltságdíjat fizetniük a hackereknek. Ez arra ösztönzi a hackereket, hogy más célpontokat támadjanak, vagy más hackercsoportokat arra ösztönöz, hogy folytassák a rendszerük támadását.