Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Mieliśmy atak ransomware. Co dalej? Case study

03 marzec 2024

Mieliśmy atak ransomware. Co dalej? Case study
Łukasz Makowski

Łukasz Makowski

Ataki ransomware stały się częścią naszej cyfrowej codzienności. Należy się przed nimi zabezpieczać odpowiednimi systemami i szkolić pracowników, by uniknąć zagrożeń. Niestety sytuacja jest dynamiczna, każdego dnia pojawiają się zagrożenia zero day, czyli takie, jakich jeszcze nie znamy, a w wyniku których może wydarzyć się coś, co spowoduje, że atak ransomware zostanie przeprowadzony z sukcesem.

Co można wtedy zrobić? 

Jak podnieść się po ataku i sprawić, że systemy obronne naszej organizacji staną się silniejsze? Ten tekst nie jest uniwersalnym zestawem wskazówek, chociaż niewątpliwie może stanowić inspirację i podpowiedź dla organizacji znajdujących się w podobnej sytuacji. Jest to jednak case study z przypadku jednego z naszych klientów, który zwrócił się do nas z prośbą o pomoc w działaniach zaradczych, kiedy zaszyfrowane zostały jego cyfrowe zasoby. 

Przywrócenie zdolności operacyjnych – faza 1

W organizacji naszego klienta, który poza obowiązkowym zgłoszeniem nie upublicznił nigdzie informacji o zaszyfrowaniu, pojawiliśmy się już po fakcie. W tym czasie klient realizował swoje podstawowe działania, ograniczając maksymalnie wykorzystanie Internetu. Doszło do takich skrajności, że osoba odpowiedzialna za sprawozdawczość do ZUS miała na chwilę udostępnianą sieć, by mogła wysłać sprawozdania, po czym Internet był na nowo odłączany. 

W normalnych warunkach byłaby to sytuacja mocno komplikująca działanie, a tu pojawił się dodatkowy czynnik: działalność organizacji realizowana była w 2 niezależnych lokalizacjach, które wymieniały informacje w sieci. Po ataku działały one w całkowitej separacji. 

Krok pierwszy: ustal, co właściwie się wydarzyło?

Pierwszym krokiem ustalenie wektora ataku, którym hakerzy dostali się do wewnętrznych zasobów. Okazało się, że:

    • w organizacji występował problem z silnymi hasłami, 
    • najprawdopodobniej bramą do ataku był to jeden z serwerów plików, a atak powiódł się również dlatego, że systemy EDR, w które organizacja była wyposażona, zostały nieprawidłowo skonfigurowane i z tego powodu nie wykryły oraz nie zatrzymały zagrożenia.
      • na domiar niedociągnięć, urządzenia UTM nie były zaktualizowane, co również spowodowało brak ochrony przed napływającym ruchem sieciowym.

        Krok drugi: zaplanuj przywrócenie możliwości działania, zminimalizuj zagrożenia i zaprojektuj odporny system zabezpieczeń

        Osoba odpowiedzialna za kwestie IT miała pomysł, jak wyjść z trudnej sytuacji, ale bała się podjąć działanie, by nie pogorszyć i tak już trudnej sytuacji, więc odłączyła wszystkich od sieci. Po konsultacji z naszymi inżynierami podjęła decyzję o stopniowym przywracaniu działania sieci w organizacji. 

        W obu lokalizacjach wymieniono urządzenia UTM chroniące sieć wewnętrzną i wykorzystując je spięto oba fizyczne biura bezpiecznym tunelem, w którym mogły wymieniać informacje. 

        Na nowo wdrożono systemy EDR. Poprzednie zainstalowane były na serwerze, który został zaszyfrowany, więc nie miały szansy zadziałać prawidłowo. Teraz zostały na nowo zainstalowane, ustawiono nowe reguły i filtrowanie stron. Ze względu na ryzyko zainfekowania kopii zapasowych zrezygnowano z przywrócenia danych gromadzonych w kopiach zapasowych. W trakcie tych prac udało się odzyskać część danych związanych z działalnością klienta z zewnętrznych urządzeń NAS. 

        Wszystkie komputery pracowników zostały sformatowane do zera, na wszystkich na nowo był instalowany system operacyjny oraz całe potrzebne oprogramowanie, ponieważ programy narzędziowe też zostały zaszyfrowane. Wszystkie urządzenia od nowa były dodawane do domeny. 

        Strategiczna analiza architektury i polityk bezpieczeństwa

        Kiedy działanie organizacji zostanie przywrócone do normalności, nadchodzi czas na działania strategiczne. Nie można zabezpieczeń operacyjnych, wprowadzonych podczas fazy 1 pozostawić jako jedyną formę ochrony. Ze względu na konieczność szybkiego działania nie przeprowadzono kompleksowej analizy funkcjonowania organizacji i może okazać się, że kolejne podatności czyhają w innych jej obszarach. 

        Zrozumienie biznesu kluczem do właściwie zaprojektowanej sieci 

        Dopiero gruntowna analiza biznesu klienta pozwoli zrozumieć jego unikalne aspekty, które powinniśmy uwzględnić podczas projektowania sieci. Opracowanie optymalnej topologii sieci, uwzględniającej skalowalność, wydajność i redundancję pozwoli spełnić bieżące i przyszłe potrzeby w tym zakresie. Na poziom zabezpieczenia wpłynie też niewątpliwie wybór odpowiednich technologii sieciowych, sprzętu oraz oprogramowania, które pozwolą pogodzić TCO z efektywnością biznesową.  Wprowadzenie zabezpieczeń w architekturze sieciowej, obejmujące także warstwy oprogramowania, pozwoli chronić przed atakami i utratą danych 

        Polityki bezpieczeństwa dopasowane do organizacji 

        Drugą częścią układanki jest stworzenie polityk bezpieczeństwa, które pozwalają na zapewnienie standardów zabezpieczeń nie tylko w obszarze technicznym, ale również w procesach realizowanych w organizacji i w działaniach poszczególnych pracowników.  

        Czas następujący krótko po ataku to wbrew pozorom dobry moment na poukładanie zasad w tym obszarze, ponieważ pracownicy, którzy doświadczyli takiego ataku, są bardzo wrażliwi na kwestie bezpieczeństwa i szybko przyswajają nowe zasady, by nie przechodzić ponownie przez utrudnienia wywołane atakiem. 

        Spersonalizowane polityki bezpieczeństwa obejmują zarówno aspekty fizyczne, jak i cyfrowe. Są zgodnie z regulacjami branżowymi i lokalnymi przepisami, ale do codziennej praktyki wdrażają je systemu pozwalające na:

          • zarządzanie dostępem,
          • kontrolę uprawnienia użytkowników w sieci, w tym identyfikację, autentykację i autoryzację.

            Kompleksowa analiza zagrożeń, identyfikacja słabych punktów w infrastrukturze sieciowej i opracowanie strategii obrony na strategicznym poziomie funkcjonowania organizacji to działania, których nie można pominąć, jeśli system już raz okazał się na tyle podatny, że uległ zaszyfrowaniu.

            Oceń artykuł

            Sprawdź się!

            Powiązane materiały

            Zapisz się do newslettera

            Bądź na bieżąco z najnowszymi informacjami na temat
            cyberbezpieczeństwa



            Zasady ochrony danych osobowych - polityka prywatności