Продление «кошмара» вредоносного ПО для шифрования данных

Кибератака на систему VNDIRECT, компании, входящей в тройку крупнейших на вьетнамском фондовом рынке, произошедшая утром 24 марта, в настоящее время в основном ликвидирована. Данные уже расшифрованы, и система поиска «Моя учетная запись» снова работает.

VNDIRECT сообщил, что инцидент 24 марта был совершен профессиональной группой хакеров, в результате чего все данные компании были зашифрованы. Атаки программ-вымогателей на протяжении многих лет являются кошмаром для предприятий и организаций по всему миру из-за серьезных последствий, которые они могут вызвать. Эксперты также сравнивают вирусы-вымогатели с «кошмаром» и «призраком» в киберпространстве.

Согласно дорожной карте VNDIRECT, объявленной клиентам и партнерам, операционное подразделение продолжит постепенно возобновлять работу систем, продуктов и других коммунальных служб. Подразделение планирует проверить потоки на фондовых биржах 28 марта.

Однако анализ экспертов по информационной безопасности показывает, что технологической команде и экспертам VNDIRECT еще предстоит долгий путь по поиску уязвимостей и тщательному устранению проблем. Программы-вымогатели — это не новая форма кибератак, но она очень сложна и требует много времени для очистки данных, полного восстановления системы и возобновления нормальной работы.

«Чтобы полностью устранить атаку вируса-вымогателя, иногда операционному подразделению приходится менять архитектуру системы, особенно систему резервного копирования. Поэтому с учетом инцидента, с которым столкнулся VNDIRECT, мы считаем, что для полного восстановления системы потребуется больше времени, даже месяцев», — сказал технический директор NCS Ву Нгок Сон.

Г-н Нгуен Минь Хай, технический директор Fortinet Vietnam, сказал, что в зависимости от серьезности атаки, возможности предварительной подготовки и эффективности плана реагирования время, необходимое для восстановления системы после атаки с использованием программ-вымогателей, может значительно различаться: от нескольких часов до нескольких недель для полного восстановления, особенно в случаях, когда необходимо восстановить большой объем данных.

«Часть этого процесса восстановления включает в себя обеспечение того, чтобы вредоносное ПО для шифрования данных было полностью удалено из сети и чтобы не осталось никаких бэкдоров, которые могли бы позволить злоумышленникам восстановить доступ», — сказал Нгуен Минь Хай.

Эксперты также отметили, что кибератака на VNDIRECT не только стала «тревожным звонком» для подразделений, управляющих и эксплуатирующих важные информационные системы во Вьетнаме, но и в очередной раз продемонстрировала уровень опасности программ-вымогателей.

Более 6 лет назад вирус WannaCry и его разновидности для шифрования данных заставили многие предприятия и организации «бороться» с собой, когда они быстро распространились на более чем 300 000 компьютеров в почти 100 странах и территориях по всему миру, включая Вьетнам.

В последние годы предприятия постоянно обеспокоены атаками программ-вымогателей. В прошлом году в киберпространстве Вьетнама было зафиксировано множество атак с использованием программ-вымогателей, повлекших за собой серьезные последствия; В некоторых случаях хакеры не только шифруют данные, чтобы потребовать выкуп, но и продают их третьим лицам, чтобы максимально увеличить сумму полученных денег. По данным NCS, в 2023 году во Вьетнаме было зафиксировано до 83 000 атак со стороны программ-вымогателей.

Распространенные «пути» проникновения в систему

Технологическая группа VNDIRECT сотрудничает с экспертами по информационной безопасности для внедрения решений, которые позволят полностью восстановить и обеспечить безопасность системы. Причина инцидента и «путь», который хакер использовал для проникновения в систему, все еще расследуются.

По словам г-на Нго Туана Аня, генерального директора компании SCS Smart Network Security, для атаки на шифрование данных хакеры часто решают проникнуть на серверы, содержащие важные данные, и зашифровать их. Существует два распространенных способа, которые используют хакеры для проникновения в систему подразделений: напрямую через уязвимости и слабые места серверной системы; или выбрать «обход» компьютера администратора и таким образом взять под контроль систему.

В беседе с VietNamNet г-н Ву Тхе Хай, руководитель отдела мониторинга информационной безопасности компании VSEC, также указал на некоторые возможности для хакеров проникнуть в систему и установить вредоносное ПО: использование существующих уязвимостей в системе для получения контроля и установки вредоносного ПО; Отправлять электронные письма с прикрепленными вредоносными файлами, чтобы обманным путем заставить пользователей открыть систему и активировать вредоносный код; Вход в систему с использованием раскрытого пароля или слабого пароля пользователя системы.

Эксперт Ву Нгок Сон проанализировал, что при атаках с использованием программ-вымогателей хакеры часто проникают в систему разными способами, такими как подбор пароля, эксплуатация уязвимостей системы, в основном уязвимостей нулевого дня (уязвимости, которые производитель еще не исправил - PV).

«Финансовые компании обычно должны соответствовать нормативным стандартам, поэтому возможность раскрытия пароля практически невозможна. Наиболее вероятная возможность — атака через уязвимость нулевого дня. Соответственно, хакеры удаленно отправляют сегменты данных, вызывающие ошибки, которые приводят к тому, что программное обеспечение переходит в неконтролируемое состояние при обработке.

Далее хакер запускает удаленное выполнение кода и получает контроль над сервером службы. «С этого сервера хакеры продолжают собирать информацию, используют полученные административные учетные записи для атак на другие серверы в сети и, наконец, запускают инструменты шифрования данных с целью вымогательства», — проанализировал эксперт Ву Нгок Сон.

Урок 2 — Эксперты показывают, как реагировать на атаки программ-вымогателей

15 апреля — крайний срок для компаний, работающих на рынке ценных бумаг, завершить проверку и оценку информационной безопасности и реализовать меры по устранению рисков и слабых сторон систем, включая систему, обслуживающую онлайн-транзакции ценных бумаг.