Phát hành báo cáo phân tích ransomware LockBit 3.0

Trong vòng ba tuần từ 24/3 đến tuần đầu tiên của tháng 4 năm nay, không gian mạng Việt Nam liên tục ghi nhận các cuộc tấn công có chủ đích dưới hình thức mã hóa dữ liệu – hoạt động ransomware nhắm vào các công ty Việt Nam liên quan đến tài chính, chứng khoán, năng lượng, viễn thông… …và các hoạt động quan trọng khác. khu vực. Những cuộc tấn công này làm tê liệt hệ thống của công ty trong một khoảng thời gian, dẫn đến tổn thất đáng kể về tài chính và danh tiếng cho các tổ chức có hệ thống bị tấn công bởi các nhóm tội phạm mạng.

Trong quá trình phân tích, điều tra nguyên nhân và các nhóm tấn công chính gần đây vào hệ thống thông tin doanh nghiệp Việt Nam, cơ quan chức năng nhận thấy các sự cố này là “sản phẩm” của nhiều nhóm tấn công khác nhau như LockBit, BlackCat, Malox. Đặc biệt, vụ tấn công ransomware vào hệ thống VNDIRECT vào lúc 10h00 ngày 24/3 đã dẫn đến rò rỉ toàn bộ dữ liệu mã hóa của 3 công ty hàng đầu thị trường chứng khoán Việt Nam và cơ quan chức năng đã xác định mã độc LockBit 3.0 đứng đằng sau vụ việc. sự cố này.

W-tan-cong-ma-hoa-du-lieu-0-1-1.jpg
Cục An ninh mạng Quốc gia A05 (Bộ Công an) xác nhận vụ tấn công vào hệ thống kinh doanh chứng khoán VNDIRECT vào tháng 3/2024 do LockBit 3.0 thực hiện.

Trên khắp thế giới, nhóm LockBit đã triển khai nhiều cuộc tấn công ransomware nhằm vào các doanh nghiệp và tổ chức lớn. Chẳng hạn, vào tháng 6 và tháng 10 năm 2023, nhóm ransomware khét tiếng này đã tấn công Công ty sản xuất chất bán dẫn TSMC (Đài Loan, Trung Quốc) và công ty dịch vụ và sản phẩm công nghệ thông tin CDW news, nhóm Lockbit yêu cầu doanh nghiệp phải trả tiền chuộc dữ liệu. 70-80 triệu USD.

Nhằm giúp các cơ quan, tổ chức, doanh nghiệp Việt Nam hiểu rõ hơn về mức độ nguy hiểm cũng như cách phòng ngừa, giảm thiểu nguy cơ bị ransomware tấn công và tấn công bởi tổ chức LockBit, Trung tâm Giám sát An ninh mạng Quốc gia – Cục An toàn Thông tin NCSC (Bộ Công thương) Công nghệ Thông tin và Truyền thông) vừa biên soạn Nó đã trở thành nguồn thông tin không gian mạng và phát hành “Báo cáo phân tích phần mềm ransomware LockBit 3.0”.

Nhóm ransomware nguy hiểm nhất thế giới

Báo cáo mới được NCSC công bố tập trung vào 4 nội dung chính, bao gồm: thông tin về các tổ chức tấn công ransomware LockBit đang hoạt động; danh sách các chỉ số tấn công mạng được ghi lại liên quan đến LockBit 3.0 cách ngăn chặn và giảm thiểu rủi ro tấn công ransomware.

Báo cáo của NCSC cho biết LockBit là một trong những nhóm ransomware nguy hiểm nhất thế giới kể từ khi xuất hiện lần đầu vào năm 2019, LockBit đã thực hiện nhiều cuộc tấn công nhằm vào các doanh nghiệp ở nhiều lĩnh vực khác nhau. Nhóm này hoạt động theo mô hình “ransomware-as-a-service (RaaS)”, cho phép các tác nhân đe dọa triển khai ransomware và chia sẻ lợi nhuận với những người đứng sau dịch vụ.

Phần mềm tống tiền lockbit.jpg
Theo các chuyên gia, LockBit là một trong những nhóm ransomware nguy hiểm nhất thế giới. Ảnh minh họa: Bkav

Đáng chú ý, vào tháng 9 năm 2022, mã nguồn của LockBit 3.0, bao gồm nhiều tên có thể được sử dụng để phát triển ransomware, đã bị rò rỉ bởi một đối tượng có tên “ali_qushji” trên Nền tảng X (trước đây là Twitter). Vụ rò rỉ này cho phép các chuyên gia phân tích kỹ hơn mẫu ransomware LockBit 3.0, nhưng kể từ đó, các tác nhân đe dọa đã tạo ra một làn sóng biến thể ransomware mới dựa trên mã nguồn LockBit 3.0.

Ngoài việc phân tích các phương thức tấn công của các cụm ransomware LockBit đang hoạt động như TronBit, CriptomanGizmo hay Tina Turnet, báo cáo NCSC còn cung cấp cho các tổ chức danh sách các chỉ số tấn công mạng được xác định liên quan đến LockBit 3.0. “Chúng tôi sẽ liên tục cập nhật thông tin chỉ số IOC trên cổng thông tin điện tử quốc gia trang notification.khonggimang.vn”, Các chuyên gia NCSC cho biết.

Một phần đặc biệt quan trọng của Báo cáo phân tích ransomware LockBit 3.0 là nội dung hướng dẫn các cơ quan, tổ chức, doanh nghiệp cách phòng ngừa và giảm thiểu nguy cơ bị tấn công bởi ransomware. Trong “Sổ tay một số biện pháp phòng ngừa và giảm thiểu rủi ro ransomware” phát hành ngày 6/4, Cục An toàn thông tin đã trình bày chi tiết những lưu ý quan trọng đối với các đơn vị hỗ trợ Việt Nam trong việc ngăn chặn và ứng phó với các cuộc tấn công ransomware, đồng thời tiếp tục khuyến nghị triển khai. Chuyên gia Ủy ban Thường vụ Quốc hội.

W-phong-chong-tan-cong-ransomware-1.jpg
Giám sát liên tục và phát hiện sớm các hành vi xâm nhập hệ thống là một trong 9 biện pháp an toàn thông tin khuyến nghị các tổ chức triển khai để ngăn chặn các cuộc tấn công của ransomware. Ảnh minh họa: Khánh Linh

Các chuyên gia cho biết các cuộc tấn công ransomware hiện nay thường bắt đầu bằng việc vi phạm an ninh trong một cơ quan hoặc tổ chức. Những kẻ tấn công xâm nhập vào hệ thống, duy trì sự hiện diện, mở rộng phạm vi xâm nhập, kiểm soát cơ sở hạ tầng CNTT của tổ chức và vô hiệu hóa hệ thống với mục tiêu buộc tổ chức nạn nhân thực sự phải trả tiền để lấy lại dữ liệu được mã hóa.

Chia sẻ với phóng viên vietnam.com Khi vụ tấn công hệ thống VNDIRECT xảy ra cách đây 5 ngày, dưới góc độ các đơn vị tham gia phối hợp hoạt động hỗ trợ khắc phục sự cố, đại diện Cục An toàn thông tin nhận xét: Vụ việc này là bài học quan trọng trong việc nâng cao nhận thức về an ninh mạng, nhận thức về an ninh mạng. An ninh của các tổ chức, doanh nghiệp tại Việt Nam.

Vì vậy, các cơ quan, tổ chức, doanh nghiệp, đặc biệt là các cơ quan, tổ chức, doanh nghiệp hoạt động trong các lĩnh vực quan trọng như tài chính, ngân hàng, chứng khoán, năng lượng, viễn thông… cần khẩn trương, chủ động rà soát, củng cố hệ thống hiện có và đội ngũ nhân viên an ninh chuyên nghiệp, đồng thời xây dựng kế hoạch ứng phó sự cố. .

“Các tổ chức cần tuân thủ nghiêm ngặt các quy định, yêu cầu và hướng dẫn đã được công bố về bảo mật thông tin và an ninh mạng. Mọi tổ chức, doanh nghiệp đều có trách nhiệm bảo vệ bản thân và khách hàng của mình khỏi nguy cơ bị tấn công mạng tiềm ẩn”.Đại diện Cục An toàn thông tin nhấn mạnh.

Phần mềm ransomware LockBit ban đầu được gọi là ABCD vì phần mở rộng tệp được mã hóa Vài tháng sau, một biến thể của ABCD xuất hiện và hiện được gọi là Lockbit. Một năm sau, nhóm này đã phát hành phiên bản nâng cấp của LockBit 2.0 (còn được gọi là LockBit Red), chứa một phần mềm độc hại tích hợp khác có tên StealBit, được thiết kế để đánh cắp dữ liệu nhạy cảm. LockBit 3.0 hay còn gọi là LockBit Black là phiên bản mới nhất, ra mắt vào năm 2022, với các tính năng mới và kỹ thuật vượt kiểm duyệt bảo mật tiên tiến.
Vì sao hệ thống PVOIL có thể phục hồi nhanh chóng sau khi bị ransomware tấn công?

Vì sao hệ thống PVOIL có thể phục hồi nhanh chóng sau khi bị ransomware tấn công?

Ngoài quy mô hệ thống nhỏ, một yếu tố quan trọng giúp PVOIL có thể nhanh chóng khắc phục sự tấn công của ransomware và hoạt động trở lại chỉ sau vài ngày chính là việc sao lưu dữ liệu.
Phát triển văn hóa bảo mật để tăng cường khả năng phòng thủ trước các cuộc tấn công của ransomware

Phát triển văn hóa bảo mật để tăng cường khả năng phòng thủ trước các cuộc tấn công của ransomware

CDNetworks Việt Nam cho biết, bằng cách đầu tư vào đào tạo nhân viên, phát triển văn hóa bảo mật và thúc đẩy sự hợp tác giữa mọi người và đội ngũ bảo mật, các doanh nghiệp có thể nâng cao khả năng chống lại các cuộc tấn công mạng, bao gồm cả các cuộc tấn công bằng ransomware.
Trả tiền chuộc dữ liệu sẽ khuyến khích tin tặc gia tăng các cuộc tấn công bằng ransomware

Trả tiền chuộc dữ liệu sẽ khuyến khích tin tặc gia tăng các cuộc tấn công bằng ransomware

Các chuyên gia đồng ý rằng các tổ chức bị tấn công bởi ransomware không nên trả tiền chuộc cho tin tặc. Điều này có thể khuyến khích tin tặc tấn công các mục tiêu khác hoặc khuyến khích các nhóm tin tặc khác tiếp tục tấn công hệ thống của tổ chức bạn.