Chodzi o Pensacola na Florydzie. Ransomware dostał się do sieci miasta i poza zaszyfrowaniem danych zostały one dodatkowo wykradzione. Decydenci nie palili się do zapłacenia okupu wynoszącego $1 000 000, atakujący zatem ujawnili w ramach ‘demo’ 2 GB wykradzionych informacji.
Obecnie mamy dostępny zwięzły raport całego incydentu. Ważną lekcją jest fakt, że atakujący dostali się do sieci za pomocą dostępnego na świat RDP (zapewne z prostymi danymi uwierzytelniającymi) – nie jest to w tym przypadku zwykły phishing na pracowników biurowych, ale raczej wykorzystanie problemu niezauważonego przez ekipę IT. Dalej nastąpiła ręczna eskalacja ataku na wewnętrzne systemy (zainfekowanych zostało ich 27), kradzież danych, a następnie instalacja ransomware:

Warto też podkreślić, że po skutecznym otrzymaniu dostępu na serwerze, dalsze rozpychanie atakujących możliwe było dzięki braku segmentacji sieci (nieskrępowany dostęp z DMZ do LAN-u, sieć będąca “jednym wielkim workiem” – skąd my to znamy?)
W raporcie znajdziemy również kilka rzeczy wartych pochwały i parę wymagających naprawy:
- Zapewnienie dedykowanej ekipy zajmującej się bezpieczeństwem IT
- Przygotowanie procedur odpowiedzi na incydenty
- Realizacja regularnych testów bezpieczeństwa
Z plusów wymieniono:
- Dostępność backupów
- Jasna komunikacja informacji o incydencie na zewnątrz organizacji
- Zapewnienie dodatkowej ochrony dla obywateli korzystających z usług IT miasta
Jakie wnioski dla Was?
–ms