Współpraca gminy Kościerzyna, Kaspersky i CSIRT NASK skutkuje odszyfrowaniem danych

13 grudnia, 2019

Pan Grzegorz Piechowski, wójt gminy Kościerzyna wykazał się nie lada znajomością kultury bezpieczeństwa poincydentowej. Zachowując zimną krew poinformował, że dnia 28 listopada 2019 roku Gmina Kościerzyna została zaatakowana przez cyberprzestępców. Dane urzędu zostały zaszyfrowane przez ransomware, ale gmina zamiast płacić okup, postanowiła zwrócić się do CSIRT NASK i zewnętrznych firm o pomoc.

W oficjalnym oświadczeniu na portalu koscierzyna.naszemiasto.pl czytamy, że wójt Grzegorz Piechowski zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego. Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.

W odpowiedzi na zgłoszenie, CSIRT NASK poinformował wójta, że urząd padł ofiarą złośliwego oprogramowania, które szyfruje pliki oraz że obecnie nie ma żadnego narzędzia informatycznego (dekryptora), które pozwoliłoby je odszyfrować.

CSIRT NASK zasugerował zwrócenie się do podmiotu zewnętrznego, który pomógłby w odzyskaniu danych. Jednocześnie wskazał, że zapłata żądanego przez atakującego okupu nie gwarantuje odszyfrowania danych.

Za pośrednictwem gdańskiego ośrodka Fundacji Rozwoju Demokracji Lokalnej Wójt Grzegorz Piechowski nawiązał kontakt z niezależną specjalistką współpracująca z FRDL, która zajęła się koordynacją obsługi incydentu. Zgodnie z ustaloną strategią, współpracując z Urzędem oraz najlepszymi specjalistami zajmującymi się informatyką śledczą i analizą malware, podjęte zostały działania zmierzające do przywrócenia dostępu do zasobów urzędu, bez płacenia okupu przestępcom.

Ponad tydzień po incydencie podjęte zostały pierwsze skoordynowane działania. Biegli z firmy „VS DATA Laboratorium Śledcze” zajmujący się informatyką śledczą dokonali zabezpieczenia śladów działalności intruza w systemach informatycznych urzędu. Dzięki precyzyjnym wskazaniom koordynatorki i kompetencjom członków zespołu informatyków śledczych z VS DATA, w wyniku wstępnej analizy zabezpieczonych danych, w ciągu kilku minut zidentyfikowano złośliwe oprogramowanie, które zaszyfrowało dyski.

Próbka złośliwego oprogramowania została przesłana równolegle do zespołu CSIRT NASK oraz niezależnego zespołu ekspertów. Tego samego dnia ekspert z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky dokonał analizy szkodliwego oprogramowania i ustalił, w jaki sposób wygenerowany został klucz szyfrujący dane.

Te krytyczne dla utworzenia dekryptora ustalenia zostały niezwłocznie przekazane zespołowi CSIRT NASK.

Tylko i wyłącznie analiza wykonana przez eksperta z zespołu GReAT z firmy Kaspersky pozwoliła na wytworzenie narzędzia informatycznego, które odszyfrowało pliki.

Po tygodniu od rozpoczęcia prac przywrócono systemy niezbędne do bieżącego funkcjonowania urzędu

Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości.

Prowadzone jest postępowanie prokuratorskie zmierzające do ustalenia sprawców przestępstwa. O incydencie został też poinformowany Urząd Ochrony Danych Osobowych.

Postawa wójta gminy jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT.

– powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.

Doprecyzowując, produkty Kaspersky wykrywały sygnaturą generyczną tego szkodnika na długo przed atakiem na urząd gminy w Kościerzynie.

Co zawiodło? Dlaczego doszło do zaszyfrowania danych?

Ustaliliśmy z firmą Kaspersky, że systemy komputerowe gminy Kościerzyna nie były zabezpieczone oprogramowaniem wymienionego dostawcy rozwiązań zabezpieczeń. Wiemy też, że komputery były chronione przez rozwiązanie konkurencyjne. Nie wiemy jednak które i czy konfiguracja polityk bezpieczeństwa była odpowiednia.

Produkty firmy Kaspersky wykrywały proaktywnie szkodnika użytego do ataku na urząd gminy sygnaturą heurystyczną HEUR:Trojan.Win32.Generic na długo przed atakiem.

Piotr Kupczyk, dyrektor biura komunikacji z mediami w Kaspersky Lab Polska udzielił nam komentarza, że w awaryjnych sytuacjach ich specjaliści udzielają pomocy, co jest czymś zupełnie naturalnym. W przypadku firm, które nie korzystają z produktów ani usług Kaspersky, każdy przypadek jest rozpatrywany indywidualnie, ponieważ pomoc zależy od wielu czynników technicznych.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]