Współpraca gminy Kościerzyna, Kaspersky i CSIRT NASK skutkuje odszyfrowaniem danych

13 grudnia 2019

Pan Grzegorz Piechowski, wójt gminy Kościerzyna wykazał się nie lada znajomością kultury bezpieczeństwa poincydentowej. Zachowując zimną krew poinformował, że dnia 28 listopada 2019 roku Gmina Kościerzyna została zaatakowana przez cyberprzestępców. Dane urzędu zostały zaszyfrowane przez ransomware, ale gmina zamiast płacić okup, postanowiła zwrócić się do CSIRT NASK i zewnętrznych firm o pomoc.

W oficjalnym oświadczeniu na portalu koscierzyna.naszemiasto.pl czytamy, że wójt Grzegorz Piechowski zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego. Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.

W odpowiedzi na zgłoszenie, CSIRT NASK poinformował wójta, że urząd padł ofiarą złośliwego oprogramowania, które szyfruje pliki oraz że obecnie nie ma żadnego narzędzia informatycznego (dekryptora), które pozwoliłoby je odszyfrować.

CSIRT NASK zasugerował zwrócenie się do podmiotu zewnętrznego, który pomógłby w odzyskaniu danych. Jednocześnie wskazał, że zapłata żądanego przez atakującego okupu nie gwarantuje odszyfrowania danych.

Za pośrednictwem gdańskiego ośrodka Fundacji Rozwoju Demokracji Lokalnej Wójt Grzegorz Piechowski nawiązał kontakt z niezależną specjalistką współpracująca z FRDL, która zajęła się koordynacją obsługi incydentu. Zgodnie z ustaloną strategią, współpracując z Urzędem oraz najlepszymi specjalistami zajmującymi się informatyką śledczą i analizą malware, podjęte zostały działania zmierzające do przywrócenia dostępu do zasobów urzędu, bez płacenia okupu przestępcom.

Ponad tydzień po incydencie podjęte zostały pierwsze skoordynowane działania. Biegli z firmy „VS DATA Laboratorium Śledcze” zajmujący się informatyką śledczą dokonali zabezpieczenia śladów działalności intruza w systemach informatycznych urzędu. Dzięki precyzyjnym wskazaniom koordynatorki i kompetencjom członków zespołu informatyków śledczych z VS DATA, w wyniku wstępnej analizy zabezpieczonych danych, w ciągu kilku minut zidentyfikowano złośliwe oprogramowanie, które zaszyfrowało dyski.

Próbka złośliwego oprogramowania została przesłana równolegle do zespołu CSIRT NASK oraz niezależnego zespołu ekspertów. Tego samego dnia ekspert z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky dokonał analizy szkodliwego oprogramowania i ustalił, w jaki sposób wygenerowany został klucz szyfrujący dane.

Te krytyczne dla utworzenia dekryptora ustalenia zostały niezwłocznie przekazane zespołowi CSIRT NASK.

Tylko i wyłącznie analiza wykonana przez eksperta z zespołu GReAT z firmy Kaspersky pozwoliła na wytworzenie narzędzia informatycznego, które odszyfrowało pliki.

Po tygodniu od rozpoczęcia prac przywrócono systemy niezbędne do bieżącego funkcjonowania urzędu

Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości.

Prowadzone jest postępowanie prokuratorskie zmierzające do ustalenia sprawców przestępstwa. O incydencie został też poinformowany Urząd Ochrony Danych Osobowych.

Postawa wójta gminy jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT.

– powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.

Doprecyzowując, produkty Kaspersky wykrywały sygnaturą generyczną tego szkodnika na długo przed atakiem na urząd gminy w Kościerzynie.

Co zawiodło? Dlaczego doszło do zaszyfrowania danych?

Ustaliliśmy z firmą Kaspersky, że systemy komputerowe gminy Kościerzyna nie były zabezpieczone oprogramowaniem wymienionego dostawcy rozwiązań zabezpieczeń. Wiemy też, że komputery były chronione przez rozwiązanie konkurencyjne. Nie wiemy jednak które i czy konfiguracja polityk bezpieczeństwa była odpowiednia.

Produkty firmy Kaspersky wykrywały proaktywnie szkodnika użytego do ataku na urząd gminy sygnaturą heurystyczną HEUR:Trojan.Win32.Generic na długo przed atakiem.

Piotr Kupczyk, dyrektor biura komunikacji z mediami w Kaspersky Lab Polska udzielił nam komentarza, że w awaryjnych sytuacjach ich specjaliści udzielają pomocy, co jest czymś zupełnie naturalnym. W przypadku firm, które nie korzystają z produktów ani usług Kaspersky, każdy przypadek jest rozpatrywany indywidualnie, ponieważ pomoc zależy od wielu czynników technicznych.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone