Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Gmina Kościerzyna skutecznie odszyfrowała swoje dane po ataku ransomware!
Horror trwał dość długo. Zaczęło się 28.11.2019 kiedy do urzędu Gminy Kościerzyna „wkroczył” ransomware. Została ogłoszona „awaria”, przez którą została sparaliżowana znaczna część systemu IT urzędu.
Niestety kiepsko szło z odzyskiwaniem danych z backupu, nie było też decryptora:
W odpowiedzi na zgłoszenie, CSIRT NASK poinformował wójta, że urząd padł ofiarą złośliwego oprogramowania, które szyfruje pliki oraz że obecnie nie ma żadnego narzędzia informatycznego (dekryptora), które pozwoliłoby je odszyfrować.
Jednak po jakimś czasie zaskakującego zwrotu akcji dokonał Kaspersky:
Tego samego dnia ekspert z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky dokonał analizy szkodliwego oprogramowania i ustalił, w jaki sposób wygenerowany został klucz szyfrujący dane.
W skrócie udało się opracować sposób na odszyfrowanie danych bez płacenia okupu :-) Brawo Kaspersky!
Aktualizacja 1. (14.12.2019):
Ransomware rozbroił Maciek Kotowicz. A Kasperski przesłał nam jeszcze dodatkowe info (korzystając z naszego profilu FB):
Pozwolimy sobie rozwiać nieco wątpliwości, które pojawiły się w komentarzach. Nasz ekspert (i specjaliści z CSIRT NASK także) zreversował otrzymaną próbkę szkodnika, wykrył błąd w funkcji odpowiedzialnej za generowanie klucza szyfrującego i dzięki temu możliwe było napisanie dekryptora. Nasza pomoc była bezinteresowna (pomoc CSIRT NASK i reszty osób zaangażowanych w sprawę także), a urząd gminy nie korzystał z naszego oprogramowania. Nie mamy żadnych informacji na temat tego, na co zdecydował się urząd teraz. Nasz oficjalny komunikat jest dostępny tutaj: https://r.kaspersky.pl/tgAuK
Aktualizacja 2 (14.12.2019)
Dowiedzieliśmy się że CERT Polska również, po początkowych perturbacjach, przygotował decryptor. Finalnie zostało jednak użyte nieco bardziej skuteczne narzędzie wskazane w aktualizacji 1.
PS
Pewne wątpliwości może u niektórych jednak budzić ten wpis:
Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości.
Bazowanie na samych urządzeniach, które mają zapobiec „podobny atakom w przyszłości”, może być nieskuteczną strategią.
–ms
Pewnie dostali w prezencie licencję na Kaspersky ;)
Terefere.
Zapłacili i już.
rily? Nawet Kasperskiemu nie zapłacili :-) (bo Kasperski zaoferował pomoc bezpłatnie – patrz update newsa).
Bezinteresowna pomoc, szczęśliwe zakończenie.. brzmi jak świetna reklama :P
„kiepsko szło z odzyskiwaniem danych z backupu”. Niestety wielu administratorów o jakości swoich backupów przekonuje się dopiero w takiej kryzysowej sytuacji. Ciekaw jestem czy był opracowany plan awaryjnego odtwarzania systemów i czy okresowo były przeprowadzane próby odzyskiwania danych z backupów.
Kolego o czym ty mówisz !!! W jakich realiach żyjesz, w tej gminie lata jakiś kolo ( pan henio informatyk, za najniższą krajową albo cos koło tego ) którego głównym zadaniem jest roznoszeni i rozstawianie komputerów i przeinstalowywanie windows !!! A i czasami tłumaczenie wójtowi jak to czy tamto w internatach dział.
Przeinstalowuje windowsy ??? Serio – to są jeszcze ludzie którzy dają pracować na adminach i to jeszcze w urzędach ??? W sumie to nawet ich nie żal …..
@sandalarz
Użytkownikowi @Erni chodziło o to, że w standardowym urzędzie jest zazwyczaj zatrudniona za najniższą krajową płacę pojedyncza osoba na pojedynczym etacie informatyka. Obowiązki takiej osoby, nazwanej przez Erniego „Panem Heniem” obejmują de facto serwis & support IT. Nie ma taka osoba absolutnie nic do powiedzenia w kwestii strategii informatyzacji, administruje tym co mu powierzono do administrowania (tak, ma prawa admina, bo ktoś musi) i pilnuje żeby urzędnicy mogli na codzień pracować na swoich stanowiskach komputerowych – naprawia awarie soft- i hardware’owe, wgrywa patche, uczy obsługi, itd. Owszem, czasem przeinstalowuje Windows. Jest nieprzeszkolony i sfrustrowany, bo zazwyczaj całkiem nieźle wie „jak powinno być”, ale to nie za poprawne wdrożenia i myślenie mu płacą.
Panu Heniowi płacą wyłącznie za to, aby urzędnicy mieli dostęp nieskrępowany do internetu i mogli swoje prywatne sprawy (e-maile, zakupy w necie) w godzinach pracy realizować! A jak coś się wywali, to Pan Henio ma nie wnikać co się stało, tylko ma NATYCHMIAST naprawić komputer, bo wpisy na facebook’u umykają! A jeszcze lepiej gdy Pan Henio za najniższą krajową ma przełożonego, wazeliniarza i protegowanego szefa! Wtedy dopiero jest SYF!
„Szkodliwe oprogramowanie […] jest wykrywane przez rozwiązania firmy Kaspersky jako Trojan.Win32.Schoolboy.gen”.
Witamy rosyjskich agentów w naszych sieciach MAN. W US jest zakaz używania tego softu w urzędach.
lepiej być szpiegowanym przez USA lub Izrael..prawda?..bo chyba nie myślisz że tylko Rosja szpieguje?…
Przypominam że Kaspersky jest komercyjną firmą o zasięgu globalnym i nigdy dowody na rzekomą współpracę z wywiadem rosyjskim nie zostały oficjalnie opublikowane. Nie umożliwiono także obrony swoich racji Eugene Kaspersky’emu przed amerykańskim Kongresem.
Kaspersky poddał się audytowi SOC 2 oraz ustanowił centra transparentności (są aktualnie 4, dwa w Europie, po jednym w Azji i Ameryce Południowej) gdzie można zapoznać się z kodem źródłowym i procesami rozwoju oprogramowania i wykrywania zagrożeń. Przenosi także dane klientów do tych centrów (amerykańskich klientów do Szwajcarii).
Więcej informacji można znaleźć pod adresem:
https://www.kaspersky.pl/o-nas/transparentnosc
Niestety wielu klientów kupuje pozornie bezpieczne rozwiązania kierując się kryterium wyboru 100% cena. Efekty są takie jak w przypadku UG Kościerzyna.
Brawo eksperci z CERT Polska i GReAT! Świetna współpraca!
Mamy w tej historii dwa ciekawe przykłady: pierwszy, jak ludzie z różnych zespołów potrafią ściśle współpracować dla wspólnego dobra i drugi, jak uprzedzeni polityczni ludzie potrafią zaciemnić i wykrzywić przekaz w komunikatach :D
Ej, zaraz, dla kogo to „brawo”?
Dla urzędu?
Dla jego informatyków?
Dla CSIRT NASK?
Czy może dla Kasperskyego?
Chyba tylko temu ostatniemu się one należą.
Radek
Dla tych ostatnich zdecydowanie :-)
Kasprowy jako produkt security to dla mnie sztos i ktoś(wiadomo kto) chciał ten best produkt zdyskredytowac. Tyle.
TYLKO Trend Micro
To z tymi urządzeniami to jest zapewne coś w rodzaju „informacji prasowej”, czyli odpowiedzi oficjalnej np. w ramach GDPR itp., co także ma za zadanie uspokoić użytkowników urzędu, że ich dane nie poleciały w kosmos, a ich urząd od teraz jest bezpieczny. Poza tym założę się, że ma pokazać urząd jako bezpieczny, który nauczył się lekcji po awarii…
… W praktyce jest jednak totalnie inaczej. Niskie nakłady na zatrudnianie porządnej ekipy informatycznej w urzędach (nietylko tym), a także (przede wszystkim) niskie nakłady na szkolenia z zakresu bezpieczeństwa. To jest główny powód dlaczego ta 'awaria’ wystąpiła.
Swoją drogą urzędy tak działają w Polsce, że bywa iż 1 tzw. informatyk robi wszystko. Zaczynając od instalowania oprogramowania, naprawiania sprzętu komputerowego, „zabezpieczenia go”, po instalowaniu cartrige’y do drukarek oraz podpinaniu kable eth, jak pani Stasia nogą trąci.
Czasem do urzędów zatrudnia się jednego informatyka tzw. głównego oraz firmę z zewnątrz, która jest tylko trochę lepiej przeszkolona i czasami zostawia takie podatności, że aż głowa boli. Byłem kiedyś przy takim fajnym zdarzeniu, gdy firma zewnętrzna instalowała aplikację księgową BeSTi@. Admin zewnętrzny siedział 2h i próbował się dostać do niej, żeby skonfigurować kilka prostych ustawień, ale nie mógł bo 2 tygodnie wcześniej kolega zainstalował, ustawił magiczne hasło i pojechał, nie przekazują sekretu :)) Gość się męczył, więc pomogłem i zasugerowałem, żeby wpisał 'bestia’. Popatrzył na mnie, stwierdził, że niemożliwe, ja go po chwili przekonałem i gość się dostał :)))) Ile jest takich przypadków, gdy coś hula na defaultowych hasła??
Urzędy IMHO powinny być lepiej zabezpieczone, ponieważ obracają naszymi danymi. W tym przypadku, przynajmniej z opisu sytuacji tak wynika, zawiodły brak wiedzy i backupów. Jak to leciało? Ludzie dzielą się na tych, którzy robią backupy i tych którzy jeszcze ich nie robią?
Słusznie postąpili oczywiście na sam koniec proszą o pomoc Kaspersky’ego ;-)
Chyba „ludzie dzieła się na tych co robią backupy i tych co będą robić backupy” 🤪
Nie tylko w urzędach. Tak jest w wielu firmach. Informatyk ma robić wszystko i jeszcze najczęściej połowę z tego charytatywnie po godzinach. Ludzie nie rozumieją niebezpieczeństw a zostanie na szkoleniu po godzinach z bezpieczeństwa sieci/aplikacji itp to zło wielkie dla wielu. Z drugiej strony szkoda mi Informatyka w urzędzie. Znając życie pojechali po nim konkretnie. Znam parę gmin i ich wydatki na informatyzację, więc spodziewam się, że nikt decyzyjny za to nie beknie. Dostanie Informatyk, który za 5 tysięcy budżetu rocznie (to nie żart, wielokrotnie w małych gminach się z tym spotkałem) ma wszystko utrzymać. Jak złożymy się z niską pensją i małym budżetem to później wychodzi jak wychodzi bezpieczeństwo. Do tego jeszcze trzeba dodać „polskie krowy” dla których MUSI być dostęp do pudelka, facebooka itp bo jak nie to „….już ja powiem komu trzeba”. samo życie na prowincji…. Kto pracuje tam to wie…
Nakłady na szkolenia? Jaja sobie Waść robisz? Od lat w urzędach krąży stwierdzenie, w którym informatyk jest pouczany przez urzędników, że: „na niczym się nie zna, bo wnuczek ma szóstkę z informatyki”! Skoro użyszkodnik będący urzędnikiem STAWIA wymóg aby mieć komputer na stanowisku pracy do realizacji zadań urzędniczych, i do tego komputer ma mieć pełny i swobodny dostęp do zasobów serwerów www, to niech ten użyszkodnik SAM się kształci! Zakres szkoleń w urzędach powinien dotyczyć WYŁĄCZNIE użytkowania aplikacji urzędowych, a nie przeglądarek i poczty czy facezbooka albo whatsappa, czy instagrama! Jak się urzędnicy zajmą pracą, a przestaną łazić po necie i do tego, zrezygnują z czytania poczty prywatnej na komputerach w urzędzie, to 99% problemów IT się skończy! System Urzędu poza jednym punktem, powinien być systemem odciętym od zasobów i usług świadczonych przez serwisy www!! Wtedy nawet socjotechnika nie zadziała, bo żaden syf z prywatnej poczty urzędnika nie wejdzie! A dodatkowo, restrykcyjne podejście do funkcjonowania skrzynki pocztowej w urzędzie, również zakończy problemy dziur w ochronie zasobów urzędu! Ale do tego trzeba dorosnąć mentalnie, a nie szpanować ilością komputerów w urzędzie i swobodą wymiany poczty elektronicznej z obywatelami! Bo do korespondencji z urzędem jest albo ePUAP, albo jedyny adres e-mail! Ale co tam! Większość urzędowych speców od komputrów ;) wie lepiej!! Osobiście nie potępiam tych co zaatakowali urząd! Jest to dla urzędu nauczka, że infantylne podejście do bezpieczeństwa sprzętu w urzędzie nie opiera się na domowym doświadczeniu z użytkowania gier i facebook’a!
Jestem ciekaw co to za ransomware.
Zakładamy się, że w niedalekiej przyszłości ktoś w innym urzędzie powie „Przecież nie musieliśmy robić kopii zapasowych bo w Kościerzynie odszyfrowali to nam też odszyfrują!” :)
Dokładnie to samo pomyślałem. „Przecież im pomogli to i u nas się uda”. A jeszcze będą narzekania i roszczenia w przeciwnym przypadku :-/
Idź my dalej niezawodnym tropem dedukcji absolwenta polibudy i zadajmy pytanie które musi paść : co lub kto zapewni bezpieczeństwo kopii zapasowych skoro nie umiemy zadbać o oryginały :o
A ja jestem ciekaw jak wirus dostał się do sieci urzędu. Czyżby jakaś pani szukała super oferty na torebkę w sklepie internetowym? A może któryś pan „szukał” bielizny dla „żony”?
raczej to była faktura na maila z googledrive… pelno tego ostatnio
To zazwyczaj wygląda tak. Przychodzi faktura na e-mail. Pani sekretarka drukuje, ale nie może otworzyć. Nagrywa fakturę na pendrive i idzie do koleżanki, bo może ona będzie miała więcej szczęścia i otworzy. Jak się u trzeciej nie otworzy to dzwonią po informatyka. :-)
Bardzo dziwi mnie, że ludzie uważają „mam backupy, przetestowałem przywracanie backupów, to znaczy jestem bezpieczny”.
Wniknięcie ransomware to nie tylko problem pod tytułem „jak mam teraz odzyskać dane”. Innymi słowi: naruszenie „availability” to nie wszystko. Doszło do naruszenia „confidentiality”. I to jest główny problem: do danych na tym komputerze miał dostęp nieuprawniony osobnik. Dlaczego o tym się nie mówi?
Jeżeli na komputerze w urzędzie przetwarzane są dane mieszkańców, powinien być fizycznie odseparowany od Internetu. Na ransomware nie należy się przygotowywać przez backupy – raczej trzeba wykluczyć włamania i takich stacji roboczych nie podłączać do globalnej sieci, nawet jeżeli istotnie komplikuje to pracę urzędu.
Komputery z PESEL są odseparowane ale są inne baz danych osobowych. BTW w Urzędzie pewnie jest mniej danych osobowych niż w najbliższym salonie sieci GSM…
> Komputery z PESEL są odseparowane
Rząd wprowadzając aplikację ŹRÓDŁO tak zapewniał. W gminach ta separacja faktycznie jest, ale na poziomie centralnym nie, bo dane z tej centralnej bazy spływają w czasie rzeczywistym np. do użytkowników Profilu Zaufanego. Dlatego kłamstwem jest stwierdzenie, że baza PESEL jest odseparowana od Internetu. Tylko czekać na wyciek wszystkich danych wszystkich Polaków, przez głupotę rządów budujących takie bazy.
> w Urzędzie pewnie jest mniej danych osobowych niż w najbliższym salonie sieci GSM…
To ma być usprawiedliwienie???
Temat dotyczył Urzędu i nie pisałem jak to jest na poziomie centralnym (przypuszczam, że bezpieczniej). Smutna prawda jest taka, że zanim świadomość bezpieczeństwa w małych i średnich gminach dojrzeje do odpowiedniego poziomu to jeszcze nie jedno usłyszymy. Co do salonu GSM, to tylko taka dygresja, że poziom zabezpieczenia dobieramy do poziomu zagrożenia. Skoro są udane ataki na Pentagon, Kasperskiego, NSA itd. to znaczy, że każdy system i urząd wpięty do Internetu może paść ofiarą takiego ataku. Kwestia czy zastosowano odpowiedni poziom bezpieczeństwa do ważności posiadanych danych. Czy zabezpieczenia były słabe, a może dane mieszkańców Kościerzyny były tak cenne?
Temat dotyczył Urzędu wiec nie pisałem jak to jest centralnie.
Były ataki na Pentagon, NSA i Kasperskiego wiec na małą gminę to żaden szał. Kwestia czy zabezpieczenia były zbyt słabe, czy pozyskane dane tak cenne.
Głęboka refleksja, jak wiemy malware kradnie może dlatego się o tym nie mówi bo to oczywiste i w takiej sytuacji raczej ważniejsze jest aby wszystko zpowrotem działało bo tym co mogli ukraść zajmują się pewnie smutni głupi panowie z ABW. I tu powraca pytanie poco analizuje się złośliwe oprogramowanie
Oprócz mniejszej kasy, informatyków od wszystkiego, pamiętajcie, że to jest Urząd a więc dużo biurokracji. Umowy, pisma, procedury, faktury, szkolenia, ogarniają sami informatycy a przez to mniej czasu przeznacza się na sprawy techniczne :)
Czyli backup na serwer linuxowy bez poświadczeń domenowych.
Tak dla przypomnienia, to dla wielu rządowych ekspertów Kaspersky to GRU i KGB w jednym
Gmina Kościerzyna epicentrum ataku
Przekazuję poniżej odpowiedź, którą dostałem od gminy:
W odpowiedzi na wniosek o dostęp do informacji publicznej informujemy, że Urząd Gminy Kościerzyna oraz jednostki organizacyjne zabezpieczane są obecnie urządzeniami zaproponowanymi przez ekspertów, którzy pomogli odszyfrować dane po ataku cyberprzestępców. Jest to następujący sprzęt:
• Urządzenie UTM Fortigate 100EF pakiet BDL, Usługa AHB HEZO
• Urządzenie UTM Fortigate 30E pakiet BDL, Usługa AHB HEZO
• Dysk Sieciowy NAS Qnap TVS-871U-RP wraz z dyskami Dysk Seagate IronWolf 8 szt. po 8TB
• Cisco Umbrella – mechanizm skutecznej obrony przed cyfrowymi szkodnikami, czyli bezpieczna brama internetowa, której zadaniem jest zarówno ochrona użytkowników podłączonych do sieci korporacyjnej, jak i pracujących zdalnie, nawet przy wykorzystaniu własnych urządzeń mobilnych. Główne zadanie tego narzędzia to kontrolowanie ruchu sieciowego poprzez kontrolowanie zapytań DNS. Dzięki możliwości natychmiastowego wykrycia IP znanego z hostowania domen z malware, reakcja Umbrelli jest błyskawiczna – sprawia to, że jest bardziej skuteczna od oprogramowania antywirusowego, które nie ma dostępu do tak obszernej bazy fałszywych domen. Elementem rozwiązania Cisco Umbrella jest dostęp do bardzo szczegółowej analizy danych – przejrzyste wykresy informują o takich elementach, jak liczba zablokowanych zapytań, rozkład czasowy wysyłanych zapytań.
Katarzyna Knopik – Sekretarz Gminy Kościerzyna