[nowość] Poznaj bezpieczeństwo Windows. Cześć pierwsza: usługi systemowe. Nowe, bezpłatne szkolenie od sekuraka!

Ransomware zaatakował Urząd Marszałkowski Województwa Mazowieckiego: zaszyfrowane dane systemu Elektronicznego Zarządzania Dokumentami (EZD) oraz innych systemów.

06 grudnia 2022, 13:29 | W biegu | komentarzy 35

Wczoraj (5.12.2022r.) otrzymaliśmy od jednego z czytelników informację o możliwym cyberataku na system EZD (Elektroniczne Zarządzanie Dokumentami) w Urzędzie Marszałkowskim Województwa Mazowieckiego. Informację tę potwierdziło niezależnie kilka innych osób, z którymi nawiązaliśmy kontakt.

Dodatkowe pytania wysłaliśmy wieczorem do IOD oraz Rzecznika Urzędu. Dzisiaj (6.12.2022r.) otrzymaliśmy następujące odpowiedzi:

[sekurak]: 1. Czy rzeczywiście doszło do cyberataku?

[Rzecznik, pani Marta Milewska]: Tak, atak został stwierdzony 5 grudnia 2022 r.

2. Czy ma on postać ransomware?

Tak, zostały zaszyfrowane zasoby EZD.

3. Jaka jest skala incydentu?

Cały czas trwają prace mające na celu ustalenie skali. Obecnie wiadomo o zasobach infrastruktury projektowej w Węźle Regionalnym i w kilku jednostkach Partnerskich.

4. Jakie czynności podejmuje Urząd aby ograniczyć skutki incydentu?

Infrastruktura Węzła Regionalnego została wyłączona. Do 333 jednostek samorządu terytorialnego została wysłana informacja o incydencie wraz z prośbą o odizolowanie infrastruktury projektowej od sieci poprzez fizyczne wyłączenie urządzeń UTM obsługujących sieć projektową.

5. Czy wszystkie systemy IT działają poprawnie? Jeśli nie – to dla których występują problemy z dostępnością?

Obecnie wszystkie systemy pracujące w ramach Węzła Regionalnego są niedostępne.

6. Czy istnieje zagrożenie wyciekiem danych?

Istnieje takie zagrożenie, ale dotychczasowe czynności sprawdzające nie potwierdzają takiego wycieku.

7. Czy ewentualnie inne systemy niż EZD zostały dotknięte incydentem?

Incydent dotyczy wszystkich systemów posadowionych w infrastrukturze Węzła Regionalnego.

Dodatkowo Pani Rzecznik uzupełniła odpowiedzi na nasze pytania o następujące informacje:

Incydent został stwierdzony 5 grudnia 2022 r. i polegał na ataku złośliwego oprogramowania szyfrującego pliki. Zdarzenie to mogło doprowadzić do utraty dostępności danych osobowych. Bezzwłocznie podjęto wszelkie działania mające na celu sprawdzenie oraz zminimalizowanie ewentualnych negatywnych skutków dla osób, których dane dotyczą.

Na chwilę obecną nie potwierdzono pozyskania danych osobowych przez osoby nieuprawnione, jednak zidentyfikowano możliwe konsekwencje naruszenia takie jak m.in.:

Trwają działania mające na celu ustalenie pozostałych okoliczności zdarzenia.

UMWM realizuje ponadto czynności mające na celu odzyskanie danych z istniejących kopii zapasowych oraz zapewnia, że podejmie niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości.

Aktualizacja1: oficjalna informacja Urzędu tutaj.
Aktualizacja2: w urzędowym linku powyżej pojawiła się m.in. taka wzmianka:

istnieje duże prawdopodobieństwo, że dane przetwarzane w systemach objętych incydentem są w posiadaniu osób trzecich.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Rafał

    No i największe urzędy są bezbronne – pomimo wdrożonych obostrzeń – trzeci stopień alarmowy CRP – Charlie.
    A w małych urzędach tylko nadzieja pozostaje, że nikt specjalnie atakował nie będzie…

    Odpowiedz
    • Tomek

      O ile ktoś się uwział akurat na mazowiecki urząd marszałkowski. Jakiś nie chce mi się wierzyć w celowany atak. Raczej klasycznie brak wyobraźni i błąd człowieka

      Odpowiedz
    • Paweł

      A wiedza ta pochodzi z własnych obserwacji czy źródła powiązanego z tym Urzędem/miejscem?

      Odpowiedz
      • Whatever

        Katolicki Uniwersytet Lubuski

        Odpowiedz
    • Artur

      Cyt.: „No i największe urzędy są bezbronne – pomimo wdrożonych obostrzeń – trzeci stopień alarmowy CRP – Charlie.”
      A co daje nawet najwyższy stopień alarmowy? Co to REALNIE zmienia? Przecież to fikcja. Co to zmienia w codziennej pracy adminów? To jak, na co dzień nic nie sprawdzamy, nie aktualizujemy, nie logujemy, a tylko jak nam wdrożą wyższy stopień CRP, to łaskawie coś zrobimy? Nie wiem, jak w ww. Urzędzie Marsz. w W-wie, ale w naszej jednostce tak nie jest. Rozwiązaniem na ransomware jest… wymiana WSZYSTKICH pracowników (włącznie z dyrekcją) na informatyków ;-) Choćby nie wiem ile szkoleń, to może się trafić idiota, który kliknie nie to, co trzeba. Ale ja się nie dziwię – za oferowane w państwówce pieniądze przychodzą pracownicy, jacy przychodzą – często (nie wszyscy oczywiście) nieogarnięci.

      Odpowiedz
      • asdsad

        W niektórych budżetówkach robią nawet dyżury nocne :D – informatyk przez całą noc czuwa i odpiera ataki jak w Matrixie. Wiecie… zielone ekrany z literkami, i ruszanie rękawicą w takiej animacji kosmosu ;)

        Odpowiedz
      • Paweł

        Kiedyś pracowałem w JST i wiem jak to było. Pracowałem jako zwykły urzędnik po studiach nie informatycznych (studia związane z finansami publicznymi, administracją samorządową i zarządzaniem nieruchomościami) widziałem co się dzieje w administracji w stosunku do bezpieczeństwa. Nie myślałem o tym co to jest zagrożenie atakiem na systemy. Dzisiaj kiedy kończę kolejne studia, związane z informatyką i posiadając wiedzę zdobytą na szkoleniach związanych z bezpieczeństwem inaczej patrzę na ten problem. Przekwalifikowałem się, że by wiedzieć, mieć pojęcie i umiećsię zachować w razie zagrożenia. To co się dzieje. szkoda sobie pluć „języka”, … a będzie jeszcze gorzej (…).

        Odpowiedz
      • Longin

        Niestety, praca działów IT to też uświadamianie kadry kierowniczej (bo kto im o tym powie jak nie my). No i oczywiście zmiana priorytetów z alarmów: bo drukarka mi nie działa, na chociażby analizę logów, czy przeglądanie zaimplementowanych polityk.
        z życia admina IT (temat z przed 2-ch tygodni) jeden z kierowników (na szczęście nie IT) po informacji o zmianach zasad z korzystania „jakiegoś kawała” infrastruktury po podniesieniu poziomu zabezpieczeń, odniósł się (w jego błędnym mniemaniu) do braku jednej litery w nazewnictwie. Temat wrócił dziś z wielkimi pretensjami bo zmiany zostały uruchomione :D.

        Odpowiedz
  2. mix

    Ta na pewno sie przyznaja jak im zabrali dane… naaa pewno.

    Odpowiedz
    • AR

      Jeśli miał miejsce przyznają się. To sektor publiczny. Nie da się tego ukryć.

      Odpowiedz
  3. Xxx

    Wszystko hostują na nieaktualnych windowsach, wszystko z komputerami jak i systemami krytycznymi w jednej sieci, nie wiedzą co to firewall czy VLAN. Do tego specjaliści zarabiający na budżetówce w porywach 3.5 tyś netto gdzie rynek pracy oferuje minimum 3x tyle. Poza CV potrzebny list motywacyjny na minimum 300 słów. To się nie mogło skończyć dobrze. Urzędy w trakcie COVID zetsawiali VPNy po PPTP lub na anydeskui i team viewer. Rekrutowaliśmy takiego jednego pracował w urzędzie miasta jako Admin przez 5 lat. Był po studiach, a nie był w stanie wytłumaczyć różnic pomiędzy TCP, a UDP, ICMP dla niego to port 1

    Odpowiedz
    • M.

      Dokładnie, komputer jak działa to jest ok, a jak coś potrzeba kupić to jest lament albo po prostu nie ma pieniędzy.

      Odpowiedz
    • Paweł

      Witaj. Piszesz o ciekawych rzeczach. Był po studiach ale jakich? Nie rozróżnia wielu rzeczy. Przyjęty został?

      Odpowiedz
      • Xxxxx

        Zgodził się za 2.5k netto z zastrzeżeniem, że musi się uczyć i nadrabiać zaległości w wiedzy. Z tego co mi wiadomo nadal ma zachowania z budżetówki (przychodzi na 8 do 16, mimo, że w tamtej firmie czas nie było grafiku i każdy chodził jak chciał) ale jest na dobrej drodze by się ogarnąć. Przynajmniej próbuje. Co do studiów, skończył uniwersytet na kierunku informatyka w Białymstoku licencjat i magister. Coś tam powershella umiał w pascalu też by program napisał.

        Odpowiedz
    • Artur

      Cyt.: „Do tego specjaliści zarabiający na budżetówce w porywach 3.5 tys. netto”.
      Czystej pensji mam 3200 na rękę (jako informatyk). Sytuację ratują okazjonalne premie i 13 pensja, ale – jak wspomniał przedmówca – szału nie ma.

      Odpowiedz
      • Marek

        Dokładnie, u mnie stawka taka sama. Najlepsze jest to, że na szkolenia dla finansów, płac albo kadr budżet jest, no bo trzeba nadążać za przepisami. Ale dla IT to na szkolenia już nie ma, podobnie na szkolenia dla użytkowników z cyber awareness. Orłem IT nie jestem, raptem zwykłym technikiem, ale i tak wiele rzeczy im wyprostowałem i zrobiłem jak być powinno. Ale niestety niektórych rzeczy się nie przeskoczy.

        Odpowiedz
      • asdsad

        Bo nikt nie odróżnia „technika” od „informatyka”.
        Większości urzędów jest potrzebny technik za 3500 netto – spec od tonerów, kabelków, reinstalek itp. Z kolei „bezpieczeństwo” powinno być projektowane odgórnie, przez prawdziwych informatyków – nie techników.
        Dziś każdy, kto umie postawić Win10, to „informatyk”.

        Odpowiedz
        • M

          Nie zmienia to faktu że w korpo technik zarabia 12 tyś brutto (tyle dawali w 2018 roku), co do UMW Mazowieckiego, to po zakupach sprzętu raczej jest tam grubo, a ransom może trafić każdego, wystarczy jeden mądry inaczej i jest po ptakach. Ktoś w rozmowie kontrolowanej życzył sobie od cyber-dżina,alladyna żeby coś zastąpiło maile i to by załatwiło większość problemów.

          Odpowiedz
      • Xxxxx

        Dlaczego nie zmienisz pracy ? Teraz junior admin zarobi 5 tyś na rękę.

        Odpowiedz
    • Longin

      W sektorze prywatnym też są bez wyobraźni ludzie. Miałem w jednej z firm kierownika z ogromnym doświadczeniem. Jak przyszedłem to mieli sieć z niezarządzalnymi przełącznikami wszystko w jednej sieci /23 (przemysłówka i biurowa), jak nie chcieli żeby miał ktoś dostępu do internetu to nie wpisywali GW w konfiguracji karty. Oczywiście brak vlan. No to wydawała się że będzie ciekawa praca budowa od zera. Zaczęliśmy wymieniać sieć pasywną i aktywną, no i nadszedł czas na migrację, ale jaka! Rozkaz: dalej brak vlan (bo sie potem robi vlan ), oczywiście było ZERO dokumentacji starej sieci, poprzedniego admina zwolnili, nie było inwentaryzacji sieci (połączeń) no i najlepsze, rozkaz migracji na zasadzie jak w starej sieci jest link to przenosimy do nowej. O konsekwencjach nie będę pisał każdy admin wie jak się to skończyło. Fajne wdrożenie a tak zjebana migracja że do tej pory mnie szapie z nerwów.
      PS. Oczywiście się zwolniłem bo nie ma nic gorszego niż kierownik bez wyobraźni i wiedzy. A szkoda bo bardzo fajni tam ludzie pracowali i ciekawa branża.

      Odpowiedz
      • Xxxxx

        Wystarczyłby jeden kabelek i 2 porty na switchu. I cała sieć leży i kwiczy, a z nią cała firma :D

        Odpowiedz
  4. Władysław

    To sprawa dla Honoraty!

    Odpowiedz
  5. Aga

    O, to tak samo jak Urząd Marszałkowski w Krakowie jakiś rok temu. Czy UMWM KRK potwierdziło w końcu utratę danych i nieuprawniony dostęp?

    Odpowiedz
  6. asd

    VLAN’y nie są potrzebne, a poza tym trzeba by wymienić przełączniki na zarządzalne.
    Hasła? Jesteśmy profesjonalistami, nie zapisujemy w .txt, nawet managera haseł nie trzeba. Hasło jest w głowie, łatwo zapamiętać, jedno dla począwszy od kamer CCTV, przez stacje robocze po serwery z bazą danych. Po co komplikować ciągami losowych znaków, przecież nikomu go nie podamy. A może manager i różne hasła? Spowalnia pracę…
    Updaty? Nie ma na to czasu, a niech się coś wywali podczas updateu, przecież działa.
    RAID? Ale to będzie trzeba drogie sprzęty w rack’u kupować, midi tower na Ryzen przecież świetnie się sprawdza. A i można dysk pod inny sprzęt podpiąć, od razu wstaje.
    Domeny z usługą Active Directory? A po co to komu? Zajmować się trzeba będzie, a być może i na szkolenie wysłać, dni w plecy.
    Po kilku latach sielanki przyszedł PAN od audytów, trzeba było XP i 7 wywalić. Mamy już 10’tki, dwa lata temu zainstalowano. Jest ok, nikt nie tyka, działa. Przynajmniej PAN od audytów się nie czepia, ciekawe co i jak sprawdzał.
    Na obronę fakt że w użyciu jest najlepszy system do monitorowania sieci i sprzętu, wystarczy czarny ekran i zaraz przez GSM żywym głosem się komunikuje, takie AI!
    Ale to tylko infrastruktura krytyczna, kto by się przejmował.
    ps. system serwerowy to jakiś absurd, z win PRO nigdy nie było problemu.

    Odpowiedz
  7. Neme

    Mogę tylko potwierdzić te smutne informacje – z empirii.

    Odpowiedz
    • lul

      smutne to :(

      Odpowiedz
  8. Mama Adama

    Muszą stworzyć cyberarmie albo trzeba oddelegowywać inżynierów do pracy na wsi,. To będzie taka reedukacja przez pracę jak za dawnych dobrych czasów.

    Odpowiedz
  9. Mama Adama

    Trudno żeby każdy tj. średni i Mały biznes czy powiatowe urzędy miały super zabezpieczenia i kadry . Poza tym nie chodzi o to aby być w 100 % odpornym na ataki, ale by minimalizować skutki, więc sądzę że w tych przypadkach powinno się skoncentrować bardziej na ciągłości działania , procedurach zapewniajacych bezpieczne kopie zapasowe i reakcje na tego typu incydenty. Oczywiście zostaje jeszcze problem wycieku danych , ale nie można mieć wszystkiego na raz w krótkim czasie

    Odpowiedz
    • Teos

      A czy to jest taki problem, żeby utrzymywać jedno centralne proxy na województwo i filtrować przez nie jednostki administracyjne? To taki pierwszy z brzegu pomysł z kapelusza. No przecież ile takie urzędy ruchu generują?

      Odpowiedz
      • AR

        Jeśli mają EZD i wszystko jest „w centrali”? Byś się zdziwił :D

        Odpowiedz
      • re

        Z monitoringiem jest jak z tą anekdotą o procedurach jak jeden pan pyta innego pana w trakcie audytu po-włamaniowego czy mają procedury na co pan odpowiada że mają, ale nikt nie czyta.
        Oczywiście proxy można, można i DLP, ale jeszcze musi być to coś co sprawi że ktoś zwróci uwagę że jakoś dziwnie dużo ruchu wychodzącego się nagle pojawiło i ktoś inny mu nie powie „a tam false positive”

        Odpowiedz
      • Andrzej

        Jest już coś takiego OSE w szkołach podobno działa hahaha. Minimum 100/100Mbps gwarantowane, a problem jest z wyświetleniem Wikipedii o sprawdzeniu e-maila służbowego nie wspomnę.

        Odpowiedz
  10. realista

    Ale to wasza wina, drogie społeczeństwo. Chcieliście to macie „tanie państwo”. Takie władze wybieracie. Buzetówka 12lat podwyzek nie widziała. Kto ma trochę oleju w głowie dawno zwiał. Będzie tylko gorzej. Miliadry za to na tvp i burzenie ostrołeki są😂

    Odpowiedz
  11. Xxx

    Od siebie tylko dodam, że u mnie w poprzednich firmach przez fanaberię szefostwa (musiał być koniecznie Windows xp) ransomware zaczął szyfrować zaosby udostępnianie poprzez zmapowaną SAMBę (komp prezesa i konto które miało większość dostępów). Ile trwały problemy przez zaszyfrowane pliki ? Tylko 30 minut, o tyle pracy poszło w plecy. Dlaczego tylko tyle ? Uruchomiłem w firmie sambę na linuxie, zasób jest uruchomiony na ZFSie, do tego zfs-auto-snapshot wykonywany co 15 minut i podpięty monitoring w zabbix, stworzony template sprawdzający rozmiar „migawek” jeżeli rozmiar odbiegał od średniej z kilku dni = alert. Wystarczyły trzy rzeczy do zrobienia (zajęło 30 minut) zfs diff porównanie snapshotow jakie zmiany zaszły, odcięcie kompa (było wiadomo po zfs diff jakie pliki i jaki user modyfikował i kiedy) i następnie zfs rollback, przywrócenie migawki zasobu sprzed szyfrowaniem ransomware. PS: jesteście po studiach informatycznych, wiedzy w budżetówce nie poszerzycie, pracujecie tam za karę czy jak ? Moim zdaniem trzeba być masochistą.

    Odpowiedz
  12. Filip

    Wiadomo co dalej? Kiedy awaria zostanie usunięta? Bo co prawda Urząd Marszałka sobie dalej funkcjonuje, ale podległe JST korzystające np. z EZD leżą i kwiczą.

    Odpowiedz

Odpowiedz