Der Cyberangriff auf das VNDIRECT-System am 24. März wurde als Ransomware-Angriff identifiziert. Diese Art von Angriff stellt für Unternehmen und Organisationen im digitalen Zeitalter eine große Sorge dar. Damit die Leser mehr über Ransomware-Angriffe, deren Gefährlichkeit und Möglichkeiten zur Vorbeugung und Reaktion erfahren, hat VietNamNet eine Artikelserie mit dem Titel „Die bestehende Gefahr durch Datenverschlüsselungsangriffe“ erstellt.

Erweiterung des „Albtraums“ der Datenverschlüsselungs-Malware

Der Cyberangriff auf das System von VNDIRECT, einem Unternehmen unter den Top 3 der vietnamesischen Börse, der sich am Morgen des 24. März ereignete, ist mittlerweile im Wesentlichen aufgeklärt. Die Daten wurden nun entschlüsselt und das Suchsystem „Mein Konto“ ist wieder betriebsbereit.

VNDIRECT berichtete, dass der Vorfall am 24. März von einer professionellen Angreifergruppe verübt wurde, wodurch sämtliche Unternehmensdaten verschlüsselt wurden. Ransomware-Angriffe sind aufgrund der schwerwiegenden Folgen, die sie haben können, seit Jahren ein Albtraum für Unternehmen und Organisationen auf der ganzen Welt. Experten vergleichen Ransomware auch mit einem „Albtraum“ und „Geist“ im Cyberspace.

Experten zufolge wird mehr Zeit benötigt, um den Angriff auf das VNDIRECT-System vollständig zu beheben. Foto: DL

Gemäß der Roadmap, die VNDIRECT den Kunden und Partnern bekannt gegeben hat, werden Systeme, Produkte und andere Dienstprogramme von der Betriebseinheit weiterhin schrittweise wieder geöffnet. Die Einheit plant, den Fluss mit den Börsen am 28. März zu überprüfen.

Aus der Analyse der Informationssicherheitsexperten geht jedoch hervor, dass die harte Arbeit des Technologieteams und der Experten von VNDIRECT, nach Schwachstellen zu suchen und das Problem gründlich zu beheben, noch lange dauern wird. Ransomware ist keine neue Form von Cyberangriffen, aber sie ist sehr komplex und erfordert viel Zeit, um Daten zu bereinigen, das System vollständig wiederherzustellen und den Normalbetrieb wieder aufzunehmen.

„Um einen Ransomware-Angriff vollständig zu beheben, muss die Betriebseinheit manchmal die Systemarchitektur ändern, insbesondere das Backup-System. Angesichts des Vorfalls, mit dem VNDIRECT konfrontiert ist, gehen wir davon aus, dass die vollständige Wiederherstellung des Systems länger, möglicherweise sogar Monate dauern wird“, sagte NCS-Technikdirektor Vu Ngoc Son.

Herr Nguyen Minh Hai, Technischer Direktor von Fortinet Vietnam, sagte, dass die zur Wiederherstellung des Systems nach einem Ransomware-Angriff benötigte Zeit je nach Schwere des Angriffs, der Fähigkeit zur Vorbereitung im Voraus und der Wirksamkeit des Reaktionsplans stark variieren kann und von einigen Stunden bis zu mehreren Wochen für eine vollständige Wiederherstellung reichen kann, insbesondere in Fällen, in denen eine große Datenmenge wiederhergestellt werden muss.

„Teil dieses Wiederherstellungsprozesses ist es sicherzustellen, dass die Datenverschlüsselungs-Malware vollständig aus dem Netzwerk entfernt wurde und dass keine Hintertüren zurückgeblieben sind, über die Angreifer erneut Zugriff erhalten könnten“, sagte Nguyen Minh Hai.

Experten kommentierten außerdem, dass der Cyberangriff auf VNDIRECT nicht nur ein „Weckruf“ für die Einheiten sei, die wichtige Informationssysteme in Vietnam verwalten und betreiben, sondern auch erneut die Gefährlichkeit von Ransomware aufgezeigt habe.

Vor mehr als sechs Jahren brachten WannaCry und seine Varianten der Datenverschlüsselungs-Malware viele Unternehmen und Organisationen in Schwierigkeiten, als sie sich schnell auf mehr als 300.000 Computer in fast 100 Ländern und Gebieten auf der ganzen Welt, darunter auch Vietnam, ausbreiteten.

In den letzten Jahren waren Unternehmen immer besorgt über Ransomware-Angriffe. Im vergangenen Jahr wurden im vietnamesischen Cyberspace zahlreiche Ransomware-Angriffe mit schwerwiegenden Folgen verzeichnet. In manchen Fällen verschlüsseln Hacker nicht nur Daten, um Lösegeld zu fordern, sondern verkaufen die Daten auch an Dritte, um den erbeuteten Betrag zu maximieren. Laut NCS-Statistiken wurden im Jahr 2023 bis zu 83.000 Computer und Server in Vietnam von Ransomware-Angriffen betroffen.

Gängige „Wege“, um in das System einzudringen

Das Technologieteam von VNDIRECT arbeitet mit Informationssicherheitsexperten zusammen, um Lösungen bereitzustellen, mit denen die Systemsicherheit vollständig wiederhergestellt und gewährleistet werden kann. Die Ursache des Vorfalls und der „Weg“, den der Hacker zum Eindringen in das System nutzte, werden noch untersucht.

Laut Herrn Ngo Tuan Anh, CEO der SCS Smart Network Security Company, dringen Hacker bei Angriffen auf die Datenverschlüsselung häufig in Server mit wichtigen Daten ein und verschlüsseln diese. Hacker nutzen üblicherweise zwei Methoden, um in das System von Einheiten einzudringen: direkt über Sicherheitslücken und Schwächen des Serversystems; oder Sie können den Administratorcomputer „umgehen“ und so die Kontrolle über das System übernehmen.

Das Erraten von Passwörtern und die Ausnutzung von Zero-Day-Sicherheitslücken sind zwei „Wege“, die Hacker häufig nutzen, um in Systeme einzudringen und von dort aus Daten zu Erpressungszwecken zu verschlüsseln. Illustrationsfoto: zephyr_p/Fotolia

Im Gespräch mit VietNamNet wies Herr Vu The Hai, Leiter der Abteilung für Informationssicherheitsüberwachung bei der VSEC Company, auch auf einige Möglichkeiten hin, wie Hacker in das System eindringen und Schadsoftware installieren können: Ausnutzen vorhandener Schwachstellen im System, um die Kontrolle zu übernehmen und Schadsoftware zu installieren; Senden Sie E-Mails mit schädlichen Dateien im Anhang, um Benutzer dazu zu verleiten, das System zu öffnen und den Schadcode zu aktivieren. Melden Sie sich mit einem durchgesickerten oder schwachen Passwort eines Systembenutzers beim System an.

Der Experte Vu Ngoc Son analysierte, dass Hacker bei Ransomware-Angriffen häufig auf verschiedenen Wegen in das System eindringen, beispielsweise durch Ausprobieren von Passwörtern oder durch Ausnutzen von Systemschwachstellen, hauptsächlich Zero-Day-Schwachstellen (Schwachstellen, die der Hersteller noch nicht gepatcht hat – PV).

Finanzunternehmen müssen in der Regel regulatorische Standards erfüllen, sodass die Möglichkeit einer Passwortermittlung nahezu ausgeschlossen ist. Die wahrscheinlichste Möglichkeit ist ein Angriff über eine Zero-Day-Sicherheitslücke. Dabei versenden Hacker fehlerverursachende Datensegmente aus der Ferne, die bei der Verarbeitung die Software in einen unkontrollierten Zustand versetzen.

Als Nächstes führt der Hacker eine Remotecodeausführung aus und übernimmt die Kontrolle über den Serviceserver. Von diesem Server aus sammeln Hacker weiterhin Informationen, verwenden die erlangten Administratorkonten, um andere Server im Netzwerk anzugreifen, und führen schließlich Datenverschlüsselungstools zur Erpressung aus“, analysierte Experte Vu Ngoc Son.

Eine neue Umfrage des Sicherheitsunternehmens Fortinet unter Unternehmen im asiatisch-pazifischen Raum, darunter auch Vietnam, zeigt, dass Ransomware weiterhin ein großes Problem darstellt. Erpressung durch Ransomware-Angriffe ist für Hersteller das größte Cybersicherheitsproblem: 36 % der befragten Unternehmen gaben an, im vergangenen Jahr Opfer eines Ransomware-Angriffs geworden zu sein. Das sind 23 % mehr als in der ähnlichen Umfrage von Fortinet aus dem Jahr 2020.

Lektion 2 – Experten zeigen, wie man auf Ransomware-Angriffe reagiert

Der 15. April ist die Frist für Wertpapierfirmen, die Überprüfung und Bewertung der Informationssicherheit abzuschließen und Maßnahmen zur Überwindung von Risiken und Schwachstellen der Systeme zu ergreifen, einschließlich des Systems, das Online-Wertpapiertransaktionen abwickelt.