Holenderski uniwersytet zapłacił szantażystom ~1 000 000 PLN. Dzięki temu odzyskali dane zaszyfrowane przez ransomware.

08 lutego 2020, 17:43 | W biegu | komentarzy 14
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Nie płaci się szantażystom? To była jedna z opcji rozważana przez władze uniwersytetu w Maastricht. Ransomware zaatakował pod koniec grudnia 2019 roku i wg relacji zaszyfrowane zostało prawie 300 serwerów:

The ransomware attack itself occurred on December 23 2019, as the Clop ransomware was deployed to 267 Windows servers, encrypting all files and demanding a ransom be paid for their recovery.

Backupów nie było lub nie do końca dobrze działały, systemy też musiałyby zostać zainstalowane od zera. A to wg władz uczelni zajęłoby „wiele miesięcy”. Kwota 30 bitcoinów, której zażądali ransomwareowcy wydała się więc jedynym rozwiązaniem i została zapłacona. Szóstego stycznia studenci oraz pracownicy naukowi powrócili do swoich zajęć, a systemy IT zaczęły działać ponownie.

Krótkie podsumowanie można znaleźć tutaj. Uniwersytet wylicza tutaj swoje grzechy:

  • Brak odpowiedniej reakcji na maile phishingowe
  • Brak odpowiedniej segmentacji sieci
  • Potrzebna lepsza organizacja backupów (ransoware był wstanie zaszyfrować część kopii zapasowych!)
  • Potrzebna lepsza organizacja wgrywania aktualizacji [‚patch’ was not installed because something went
    wrong when the software was updated to a new version.]
  • Potrzebny lepszy monitoring działania sieci jeśli chodzi o bezpieczeństwo

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Rysio

    Zapłacić powinien M$ za dziury w AD bo jeżeli dostało 300 serwerów to pewnie poszło g. po domenie i załatwiło wszystko co działało i było w domenie

    Odpowiedz
    • Marcin

      a niby z jakiej paki, bo ktoś dal takie uprawnienia?

      Odpowiedz
    • Jacek

      Nie przesądzaj od razu winy M$ na pewno poszlo po AD. Czy to wina usera czy wina M$ to myślę że się nie dowiemy.

      Odpowiedz
    • Emilian

      „Potrzebna lepsza organizacja wgrywania aktualizacji [‚patch’ was not installed because something went
      wrong when the software was updated to a new version.]”

      Odpowiedz
    • John Sharkrat

      A od kiedy to używanie M$ jest obowiązkowe ?Poza tym przeczytaj sobie umowę licencyjną. Nie pasuje ci umowa, to nie używasz produktu.

      Odpowiedz
  2. John Sharkrat

    Widzę że PLN to waluta lepsza od $ czy ero, skoro wszyscy w niej żądają okupu.

    Odpowiedz
    • Ostatni raz nasze stanowisko: kwoty podajemy w PLN (żeby zobrazować skalę tematu). Bo nie każdy ma w głowie bieżący kurs USD/EUR/jenów czy koron. Tutaj akurat żądano w BTC – przyznaj się proszę, znasz z głowy kurs BTC? A przeliczanie BTC na EUR żeby później ktoś sobie przeliczył na złotówki to w ogóle kiepskie.

      pozdrowienia :-)

      Odpowiedz
      • Monter

        Nie staję po żadnej ze stron sporu, ale za miesiąc czy więcej kurs może być bardzo inny od dzisiejszego i kwota podana w PLN stanie się dla czytającego nieprawdziwa.
        Zdanie typu „na dziś stanowi to kwotę X PLN” lepiej więc dawać w treści niż w tytule.

        Odpowiedz
        • Chesteroni

          Ale oni zaplacili to teraz wiec dali tyle ile obecnie wart jest 1 mln PLN

          Odpowiedz
          • Monter

            Ale nie płacili w złotówkach, więc zasadne jest odniesienie do przelicznika a nie twarde jego stosowanie.

  3. John Sharkrat

    Piszecie „wg relacji zaszyfrowane zostało prawie 300 serwerów:” a później „was deployed to 267 Windows servers”. Pytanie za 10 pkt. 1. Ile było serwów? Zadanie do rozwiązania: Jeśli serwer X wyjeżdża z Poznania do Warszawy z prędkością 100 km/h, a serwer Y z Warszawy do Poznania z prędkością 95 km. h. Pytanie jak nazywają się administratorzy serwerów X i Y?

    Odpowiedz
    • Czepiasz się żeby czepiać? :) „267” to przecież „prawie 300”. A wszystkich serwerów (w całej uczelni) było AFAIR ~1700 – do obkukania w oryginalnym paperze/raporcie – choć nie o tym tutaj piszemy.

      Odpowiedz
  4. ehhh

    A może poradnik jak powinno się to robić? Jak minimalizować ryzyko? Jak prawidłowo stopniować uprawnienia?
    Gdzieś słyszałem o takim rozwiązaniu, że do kompów użytkowników logują się tylko lokalnym hasłem, które w dodatku jest okresowo zmieniane przez automat. Technik zanim pójdzie do człowieka/połączy się zdalnie, to wyciąga lokalne hasło z jakiegoś systemu. Zna ktoś to? Dobre rozwiązanie?

    PS Ciekawe czy mój pracodawca trafi do takiego artykułu? A może raczej „kiedy?”?
    Jedno hasło admina otwiera każdy serwer i stację użytkownika. Wyciek kwestią czasu.

    Odpowiedz
  5. Optymista

    „John Sharkrat” ktos by mogl pomyslec, ze wstales lewa noga ;). Prowadzisz bloga, z checia bym poczytal ;).

    Odpowiedz

Odpowiedz