Хакеры «Path» проникают в систему, чтобы атаковать шифрование данных

Продление «кошмара» вредоносного ПО для шифрования данных

Кибератака на систему VNDIRECT, компании, входящей в тройку лидеров вьетнамского фондового рынка, произошедшая утром 24 марта, в основном ликвидирована. Данные расшифрованы, и система поиска в разделе «Моя учётная запись» восстановлена.

Группа VNDIRECT сообщила, что инцидент, произошедший 24 марта, был осуществлён профессиональной группой хакеров, в результате чего все данные компании были зашифрованы. Вредоносные программы для шифрования данных (криптовалюты) в последние годы стали настоящим кошмаром для предприятий и организаций по всему миру из-за серьёзных последствий, которые они могут вызвать. Эксперты также сравнивают программы-вымогатели с «кошмаром» и «призраком» киберпространства.

Согласно дорожной карте VNDIRECT, объявленной клиентам и партнёрам, операционное подразделение продолжит постепенное возобновление работы систем, продуктов и других коммунальных служб. Подразделение планирует провести сверку потоков с фондовыми биржами 28 марта.

Однако анализ экспертов по информационной безопасности показывает, что команде разработчиков и экспертов VNDIRECT ещё предстоит пройти долгий путь, сканируя системы на наличие уязвимостей и устраняя проблему. Программы-вымогатели — не новый вид кибератак, но они очень сложны и требуют много времени для очистки данных, полного восстановления системы и возобновления её нормальной работы.

«Чтобы полностью остановить атаку вируса-вымогателя, операционному подразделению иногда приходится менять архитектуру системы, особенно систему резервного копирования. Поэтому, учитывая инцидент, с которым столкнулся VNDIRECT, мы полагаем, что полное восстановление системы займёт больше времени, даже несколько месяцев», — заявил технический директор NCS Ву Нгок Сон.

Г-н Нгуен Минь Хай, технический директор Fortinet Vietnam, отметил, что в зависимости от серьезности атаки, возможности предварительной подготовки и эффективности плана реагирования время, необходимое для восстановления системы после атаки программы-вымогателя, может значительно варьироваться: от нескольких часов до нескольких недель для полного восстановления, особенно в случаях, когда необходимо восстановить большой объем данных.

«Часть процесса восстановления включает в себя обеспечение полного удаления вредоносного ПО для шифрования данных из сети и отсутствие каких-либо уязвимостей, которые могли бы позволить злоумышленникам восстановить доступ», — сказал Нгуен Минь Хай.

Эксперты также отметили, что кибератака на VNDIRECT не только стала «тревожным звонком» для подразделений, управляющих и эксплуатирующих важные информационные системы во Вьетнаме, но и в очередной раз продемонстрировала уровень опасности программ-вымогателей.

Более 6 лет назад вирус WannaCry и его варианты вредоносного ПО для шифрования данных заставили многие предприятия и организации столкнуться с «трудностями», когда они быстро распространились на более чем 300 000 компьютеров в почти 100 странах и территориях по всему миру , включая Вьетнам.

В последние годы компании постоянно беспокоились об атаках программ-вымогателей. В прошлом году в киберпространстве Вьетнама было зафиксировано множество атак программ-вымогателей с серьёзными последствиями. В ходе этих атак хакеры не только шифровали данные с требованием выкупа, но и продавали их третьим лицам для максимального увеличения суммы выкупа. Согласно статистике Национальной службы статистики (NCS), в 2023 году во Вьетнаме было зафиксировано до 83 000 атак программ-вымогателей.

Распространенные «пути» проникновения в систему

Технологическая команда VNDIRECT сотрудничает с экспертами по информационной безопасности над внедрением решений для полного восстановления системы, обеспечивая при этом её безопасность. Причина инцидента и «путь», использованный хакером для проникновения в систему, всё ещё расследуются.

По словам г-на Нго Туана Аня, генерального директора компании SCS Smart Network Security, для атаки на шифрование данных хакеры часто проникают на сервер, содержащий важные данные, и шифруют их. Существует два способа проникновения в систему устройств: напрямую через уязвимости и слабые места серверной системы или «обойти» компьютер администратора и оттуда получить контроль над системой.

В беседе с VietNamNet г-н Ву Тхе Хай, руководитель отдела мониторинга информационной безопасности компании VSEC, также указал на некоторые возможности для хакеров проникнуть в систему и установить вредоносное ПО: использование существующих уязвимостей в системе для получения контроля и установки вредоносного ПО; отправка электронных писем с прикрепленными файлами, содержащими вредоносное ПО, для обмана пользователей в открытой системе, активация вредоносного ПО; вход в систему с использованием украденных паролей или слабых паролей пользователей системы.

Эксперт Ву Нгок Сон проанализировал, что при атаках с использованием программ-вымогателей хакеры часто проникают в систему разными способами, например, путем подбора пароля, эксплуатации уязвимостей системы, в основном уязвимостей нулевого дня (уязвимости, которые производитель еще не исправил — PV).

Финансовые компании обычно обязаны соблюдать нормативные требования, поэтому возможность раскрытия паролей практически исключена. Наиболее вероятная возможность — атака через уязвимость нулевого дня. Соответственно, хакеры удалённо отправляют сегменты данных, вызывающие ошибки, которые при обработке приводят к тому, что программное обеспечение переходит в неконтролируемое состояние.

«Далее хакер запускает удалённое выполнение кода и захватывает контроль над сервером сервиса. С этого сервера хакер продолжает собирать информацию, использует полученные административные учётные записи для атак на другие серверы в сети и, наконец, запускает инструменты шифрования данных для вымогательства», — проанализировал эксперт Ву Нгок Сон.

Урок 2 — Эксперты показывают, как реагировать на атаки программ-вымогателей

15 апреля — крайний срок для компаний, работающих на рынке ценных бумаг, завершить проверку и оценку информационной безопасности и реализовать меры по устранению рисков и недостатков систем, включая систему обслуживания онлайн-транзакций с ценными бумагами.