Der Cyberangriff auf das VNDIRECT-System am 24. März wurde als Ransomware-Angriff identifiziert. Diese Art von Angriff ist für Unternehmen und Organisationen im digitalen Zeitalter eine große Sorge. Damit die Leser mehr über Ransomware-Angriffe, deren Gefährlichkeit sowie Präventions- und Reaktionsmethoden erfahren, hat VietNamNet eine Artikelserie mit dem Titel „Die bestehende Gefahr durch Datenverschlüsselungsangriffe“ erstellt.

Der „Alptraum“ der Datenverschlüsselungs-Malware wird ausgeweitet

Der Cyberangriff auf das System von VNDIRECT, einem Unternehmen unter den Top 3 der vietnamesischen Börse, der sich am Morgen des 24. März ereignete, ist mittlerweile im Wesentlichen aufgeklärt. Die Daten wurden jetzt entschlüsselt und das Suchsystem „Mein Konto“ ist wieder einsatzbereit.

VNDIRECT berichtete, dass der Vorfall am 24. März von einer professionellen Angreifergruppe durchgeführt wurde, wodurch sämtliche Unternehmensdaten verschlüsselt wurden. Ransomware-Angriffe sind aufgrund der schwerwiegenden Folgen, die sie verursachen können, seit Jahren ein Albtraum für Unternehmen und Organisationen auf der ganzen Welt. Experten vergleichen Ransomware auch mit einem „Albtraum“ und „Gespenst“ im Cyberspace.

Experten zufolge wird mehr Zeit benötigt, um den Angriff auf das VNDIRECT-System vollständig zu beheben. Foto: DL

Gemäß der Roadmap, die VNDIRECT den Kunden und Partnern bekannt gegeben hat, werden Systeme, Produkte und andere Dienstprogramme von der operativen Einheit weiterhin schrittweise wieder geöffnet. Die Einheit plant, den Fluss mit den Börsen am 28. März zu überprüfen.

Aus der Analyse der Informationssicherheitsexperten geht jedoch hervor, dass die harten Tage des Technologieteams und der Experten von VNDIRECT, die nach Schwachstellen suchen und das Problem gründlich beheben, noch lang sind. Ransomware ist keine neue Form von Cyberangriffen, sie ist jedoch sehr komplex und erfordert viel Zeit, um Daten zu bereinigen, das System vollständig wiederherzustellen und den Normalbetrieb wieder aufzunehmen.

„Um einen Ransomware-Angriff vollständig zu beheben, muss die Betriebseinheit manchmal die gesamte Systemarchitektur ändern, insbesondere das Backup-System. Angesichts der Probleme, mit denen VNDIRECT konfrontiert ist, gehen wir davon aus, dass es noch länger dauern wird, vielleicht sogar Monate, bis sich das System vollständig erholt hat“, sagte Vu Ngoc Son, technischer Direktor der NCS Company.

Herr Nguyen Minh Hai, Technischer Direktor von Fortinet Vietnam, sagte, dass die zur Wiederherstellung des Systems nach einem Ransomware-Angriff erforderliche Zeit je nach Schwere des Angriffs, der Fähigkeit zur Vorbereitung im Voraus und der Wirksamkeit des Reaktionsplans stark variieren kann und von einigen Stunden bis zu mehreren Wochen für eine vollständige Wiederherstellung reicht, insbesondere in Fällen, in denen eine große Menge an Daten wiederhergestellt werden muss.

„Teil dieses Wiederherstellungsprozesses ist es sicherzustellen, dass die Datenverschlüsselungs-Malware vollständig aus dem Netzwerk entfernt wurde und dass keine Hintertüren zurückgeblieben sind, über die Angreifer erneut Zugriff erhalten könnten“, sagte Nguyen Minh Hai.

Experten merkten außerdem an, dass der Cyberangriff auf VNDIRECT nicht nur ein „Weckruf“ für die Einheiten sei, die wichtige Informationssysteme in Vietnam verwalten und betreiben, sondern auch erneut die Gefährlichkeit von Ransomware aufgezeigt habe.

Vor mehr als sechs Jahren brachten WannaCry und seine Varianten der Datenverschlüsselungs-Malware viele Unternehmen und Organisationen in Schwierigkeiten, als sie sich schnell auf mehr als 300.000 Computer in fast 100 Ländern und Gebieten auf der ganzen Welt, darunter auch Vietnam, ausbreiteten.

In den letzten Jahren waren Unternehmen immer besorgt über Ransomware-Angriffe. Im vergangenen Jahr wurde im Cyberspace Vietnams eine Vielzahl von Ransomware-Angriffen mit schwerwiegenden Folgen verzeichnet. In manchen Fällen verschlüsseln Hacker nicht nur Daten, um Lösegeld zu fordern, sondern verkaufen die Daten auch an Dritte, um den eingenommenen Geldbetrag zu maximieren. Laut NCS-Statistiken wurden im Jahr 2023 bis zu 83.000 Computer und Server in Vietnam von Ransomware angegriffen.

Gängige „Wege“, um in das System einzudringen

Das Technologieteam von VNDIRECT arbeitet mit Informationssicherheitsexperten zusammen, um Lösungen bereitzustellen, die die Systemsicherheit vollständig wiederherstellen und gewährleisten. Die Ursache des Vorfalls und der „Weg“, den der Hacker zum Eindringen in das System verwendet hat, werden noch untersucht.

Laut Herrn Ngo Tuan Anh, CEO der SCS Smart Network Security Company, dringen Hacker bei ihrem Versuch, die Datenverschlüsselung anzugreifen, häufig in Server mit wichtigen Daten ein und verschlüsseln diese. Hacker nutzen üblicherweise zwei Methoden, um in das System von Einheiten einzudringen: direkt über Sicherheitslücken und Schwächen des Serversystems; oder Sie können den Administratorcomputer „umgehen“ und so die Kontrolle über das System übernehmen.

Das Erraten von Passwörtern und die Ausnutzung von Zero-Day-Sicherheitslücken sind zwei „Wege“, die Hacker häufig nutzen, um in Systeme einzudringen und von dort aus Daten zu Erpressungszwecken zu verschlüsseln. Abbildung: zephyr_p/Fotolia

Im Gespräch mit VietNamNet wies Herr Vu The Hai, Leiter der Abteilung für Informationssicherheitsüberwachung bei der Firma VSEC, auch auf einige Möglichkeiten für Hacker hin, in das System einzudringen und Schadsoftware zu installieren: Durch Ausnutzen vorhandener Schwachstellen im System, um die Kontrolle zu übernehmen und Schadsoftware zu installieren; Senden Sie E-Mails mit schädlichen Dateien im Anhang, um Benutzer dazu zu verleiten, das System zu öffnen und den Schadcode zu aktivieren. Melden Sie sich mit einem durchgesickerten oder schwachen Passwort eines Systembenutzers beim System an.

Der Experte Vu Ngoc Son analysierte, dass Hacker bei Ransomware-Angriffen häufig auf verschiedenen Wegen in das System eindringen, etwa durch das Ausspionieren von Passwörtern oder das Ausnutzen von Systemschwachstellen, hauptsächlich Zero-Day-Schwachstellen (Schwachstellen, die der Hersteller noch nicht gepatcht hat – PV).

„Finanzunternehmen müssen in der Regel regulatorische Standards erfüllen, sodass die Möglichkeit einer Passwort-Ermittlung nahezu ausgeschlossen ist. Die wahrscheinlichste Möglichkeit ist ein Angriff über eine Zero-Day-Schwachstelle. Demnach versenden Hacker aus der Ferne fehlerverursachende Datensegmente, die bei der Verarbeitung dazu führen, dass die Software in einen unkontrollierten Zustand gerät.

Anschließend führt der Hacker eine Remotecodeausführung aus und übernimmt die Kontrolle über den Serviceserver. Von diesem Server aus sammeln Hacker weiterhin Informationen, verwenden die erlangten Administratorkonten, um andere Server im Netzwerk anzugreifen, und führen schließlich Datenverschlüsselungstools aus, um Erpressungen auszulösen“, analysiert Experte Vu Ngoc Son.

Eine neue Umfrage des Sicherheitsunternehmens Fortinet unter Unternehmen im Asien-Pazifik-Raum, darunter Vietnam, zeigt, dass Ransomware immer noch ein großes Problem darstellt. Erpressung durch Ransomware-Angriffe ist für Hersteller das größte Cybersicherheitsproblem: 36 % der befragten Unternehmen gaben an, im vergangenen Jahr Opfer eines Ransomware-Angriffs geworden zu sein. Das sind 23 % mehr als in der ähnlichen Umfrage von Fortinet aus dem Jahr 2020.

Lektion 2 – Experten zeigen, wie man auf Ransomware-Angriffe reagiert

Der 15. April ist die Frist für Wertpapierfirmen, ihre Überprüfung und Bewertung der Informationssicherheit abzuschließen und Maßnahmen zur Überwindung der Risiken und Schwächen der Systeme zu ergreifen, darunter auch des Systems, das Online-Wertpapiertransaktionen abwickelt.