Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ransomware w kolejnym urzędzie w Polsce (w tle również wyciek danych). Zambrów
Wydany 21. lipca 2022 roku komunikat urzędu mówi:
Naruszenie miało miejsce w dniu 21.05.2022 było spowodowane atakiem ransomware. Atak polega na tym, iż złośliwe oprogramowanie zaszyfrowało pliki z Państwa danymi osobowymi tj.
- imię nazwisko,
- adres zamieszkania,
- data i miejsce urodzenia,
- nr PESEL,
- nr telefonu,
- nr dowodu osobistego
- imiona rodziców
w systemach informatycznych oraz zablokowało dostęp do nich (zaszyfrowało) żądając okupu za zniesienie blokady.
Ciężko coś więcej powiedzieć, poza tym że obecnie ransomware bardzo często używa mechanizmu „podwójnej groźby” – czyli w przypadku braku zapłacenia okupu dane są upubliczniane. Dodatkowy (z 22. lipca 2022r) komunikat mówi:
W związku z komunikatem Burmistrza z dnia 21.07.2022 r. dotyczącym ataku na systemy informatyczne Urzędu Miasta Zambrów, który miał miejsce dnia 21.05.2022 r. informujemy, że dotychczas nie odnotowaliśmy żadnego przypadku utraty danych osobowych w związku z zaistniałym incydentem. Ponadto informujemy, że zaszyfrowanie danych nie dotyczy bazy Pesel, Dowodów Osobistych, czy Ewidencji Ludności.
Tutaj warto pamiętać, że jeśli nie wykryto faktu wycieku (bo np. nie ma stosownych logów), to nie oznacza że wyciek nie nastąpił. Nie oznacza też, że nastąpił.
Przy okazji, jeśli chcecie dowiedzieć się o świeżych trendach/taktykach stosowanych obecnie przez ekipy ransomware – polecamy nasz przeszło 2h materiał opublikowany niedawno na sekurakTV.
~ms
Nie zaszyfrowano systemów Pesel, DO itd bo … to odseparowana galwanicznie sieć ;)
Odseparowane to są osobne rejestry – ale w urzędzie masz też mnóstwo danych lokalnych:
– cały system POMOST (Java + Firebird) instaluje się per urząd
– różne lokalne dokumenty, skany i inne pliki też są przechowywane na lokalnych serwerach plików, w ramach lokalnych instalacji AD
Widziałem zaszyfrowane dane z wielu urzędów i tego najczęściej są grube gigabajty.
Zresztą jest wprost napisane:
– „zaszyfrowało pliki z Państwa danymi osobowymi”
– „zaszyfrowanie danych nie dotyczy bazy Pesel, Dowodów Osobistych, czy Ewidencji Ludności”
Tak wiem ;) chodziło mi o sam fakt, dlaczego Tych systemów nie objęło Ranso. Tutaj ściśle każdy urząd musi spełniać wymogi podpięcia pod rejestry Państwowe – czyli mieć 2 komputer i sieć do tych usług ;)
Nie objęło przede wszystkim dlatego, że przeciętny program typu ransomware szyfruje po prostu pliki:
– w lokalnych systemach plików
– na udziałach SMB (typu \\serwer\udzial)
– na czymkolwiek, co jest zamapowane w Windows jako dysk albo ścieżka w NTFS
I tyle. Odseparowanie centralnych rejestrów tutaj akurat w niczym nie pomogło – one są dostępne przez https, za pomocą przeglądarki, więc ransomware i tak by ich nie ruszył.
Galwanicznie, czyli połączenie światłowodowe?
Wiadomo co to za ransomware?
odseparowana galwanicznie?? jak elektrycy zajmują się sieciami komputerowymi to takie są skutki xD