Насколько опасен вирус-вымогатель Lockbit 3.0, атакующий VNDIRECT?

Опубликован отчет об анализе вируса-вымогателя LockBit 3.0

В течение трех недель с 24 марта по первую неделю апреля этого года в киберпространстве Вьетнама были зафиксированы последовательные целевые атаки с использованием программ-вымогателей на крупные вьетнамские предприятия, работающие в таких важных областях, как финансы, ценные бумаги, энергетика, телекоммуникации и т. д. Эти атаки привели к временной приостановке работы систем предприятий, что нанесло значительный экономический и репутационный ущерб подразделениям, чьи системы стали мишенью киберпреступных группировок.

В процессе анализа и расследования причин и групп субъектов, которые недавно атаковали информационные системы вьетнамских предприятий, власти обнаружили, что эти инциденты были «продуктами» множества различных групп атак, таких как LockBit, BlackCat, Mallox... В частности, в связи с атакой с целью вымогательства на систему VNDIRECT в 10:00 утра 24 марта, в результате которой были зашифрованы все данные предприятий, входящих в тройку крупнейших на вьетнамском фондовом рынке, власти идентифицировали группу LockBit с вредоносным ПО LockBit 3.0 как стоящую за этим инцидентом.

По всему миру группировка LockBit запустила множество атак с использованием программ-вымогателей, нацеленных на крупные предприятия и организации. Например, в июне и октябре 2023 года эта печально известная группа вирусов-вымогателей атаковала компанию по производству полупроводников TSMC (Тайвань, Китай) и компанию по производству продуктов и услуг в области информационных технологий CDW, при этом сумма выкупа, которую группировка Lockbit потребовала от компаний, составила до 70–80 миллионов долларов США.

Желая помочь учреждениям, организациям и предприятиям во Вьетнаме лучше понять уровень опасности и способы предотвращения и минимизации рисков от атак программ-вымогателей в целом, а также атак группировки LockBit, Национальный центр мониторинга кибербезопасности (NCSC) при Департаменте информационной безопасности (Министерство информации и коммуникаций) только что обобщил источники информации о киберпространстве и выпустил «Аналитический отчет о программах-вымогателях LockBit 3.0».

Самая опасная в мире группа вирусов-вымогателей

В новом отчете, подготовленном NCSC, основное внимание уделяется предоставлению четырех основных материалов, в том числе: информации о группе хакеров-вымогателей LockBit; Кластеры LockBit активны; Отмечен список индикаторов кибератак, связанных с LockBit 3.0; Как предотвратить и минимизировать риски атак программ-вымогателей.

В отчете NCSC LockBit названа одной из самых опасных группировок программ-вымогателей в мире. Кроме того, с момента своего первого появления в 2019 году LockBit осуществила множество атак, нацеленных на предприятия и организации из самых разных сфер. Группа работает по модели «Программы-вымогатели как услуга (RaaS)», что позволяет злоумышленникам развертывать программы-вымогатели и делиться прибылью с теми, кто стоит за этой услугой.

Примечательно, что в сентябре 2022 года исходный код LockBit 3.0, включая некоторые имена, которые могли быть использованы для разработки этого вируса-вымогателя, был слит в сеть пользователем под ником «ali_qushji» на платформе X (ранее Twitter). Утечка позволила экспертам провести более глубокий анализ образца программы-вымогателя LockBit 3.0, однако с тех пор злоумышленники создали целую волну новых вариантов программ-вымогателей на основе исходного кода LockBit 3.0.

Наряду с анализом методов атак активных кластеров программ-вымогателей LockBit, таких как TronBit, CriptomanGizmo или Tina Turnet, отчет NCSC также предоставляет агентствам список зафиксированных индикаторов кибератак, связанных с LockBit 3.0. «Мы будем постоянно обновлять информацию об индикаторах МОК на странице alert.khonggianmang.vn национального портала киберпространства», — сказал эксперт NCSC.

Особенно важной частью «Отчета об анализе программ-вымогателей LockBit 3.0» является контент, содержащий рекомендации для агентств, организаций и предприятий о том, как предотвращать и минимизировать риски атак программ-вымогателей. Департамент информационной безопасности изложил важные замечания по поддержке подразделений во Вьетнаме в предотвращении и реагировании на атаки с использованием программ-вымогателей в «Справочнике по некоторым мерам по предотвращению и минимизации рисков атак с использованием программ-вымогателей», выпущенном 6 апреля, и продолжает рекомендовать их к внедрению экспертами NCSC.

По словам экспертов, современные атаки с использованием программ-вымогателей часто начинаются из-за уязвимости системы безопасности агентства или организации. Злоумышленники проникают в системы, сохраняют свое присутствие, расширяют свое влияние, контролируют ИТ-инфраструктуру организации и парализуют систему с целью заставить реальные организации-жертвы заплатить выкуп, если они хотят восстановить зашифрованные данные.

Представитель Департамента информационной безопасности, рассказывая журналистам VietNamNet о том, что произошло 5 дней назад, когда произошла атака на систему VNDIRECT, с точки зрения подразделения, участвующего в координации мероприятий по поддержке реагирования на инциденты, прокомментировал: «Этот инцидент является важным уроком для повышения осведомленности о безопасности сетей и защищенности организаций и предприятий во Вьетнаме».

Поэтому учреждениям, организациям и предприятиям, особенно тем, которые работают в таких важных областях, как финансы, банковское дело, ценные бумаги, энергетика, телекоммуникации и т. д., необходимо срочно и активно пересматривать и укреплять как существующие системы безопасности, так и профессиональный персонал, и одновременно разрабатывать планы реагирования на инциденты.

«Организации должны строго соблюдать выпущенные правила, требования и рекомендации по информационной безопасности и безопасности сетей. «Это обязанность каждой организации и бизнеса защищать себя и своих клиентов от потенциальных кибератак», — подчеркнул представитель Департамента информационной безопасности.

Почему система PVOIL может быстро восстановиться после атаки программ-вымогателей?

Помимо небольшого размера системы, важным фактором, позволяющим PVOIL быстро устранить атаку вируса-вымогателя и восстановить работу всего через несколько дней, является резервное копирование данных.

Формирование культуры безопасности для повышения защиты от атак программ-вымогателей

По данным CDNetworks Vietnam, инвестируя в обучение сотрудников, формирование культуры безопасности и содействие сотрудничеству между сотрудниками и службой безопасности, предприятия могут повысить свою защиту от кибератак, включая атаки программ-вымогателей.

Выплата выкупа подтолкнет хакеров к увеличению числа атак с использованием программ-вымогателей

Эксперты сходятся во мнении, что организациям, подвергшимся атакам программ-вымогателей, не следует платить выкуп хакерам. Потому что это подтолкнет хакеров атаковать другие цели или побудит другие хакерские группы продолжать атаковать системы своего подразделения.