Nowoczesny Bank Spółdzielczy | Technologie – ITPunkt | Najlepsze zabezpieczenia są wielopoziomowe. Historia cyberataku ransomware
A na początku był… ransomware
Centrum NOC/SOC Działu Utrzymania ITPunkt odbiera telefon od dyrektora IT firmy ACME*, dla której dwa lata wcześniej wykonywaliśmy wdrożenie chmury prywatnej. ACME nie posiada aktywnego kontraktu wsparcia, jednak podejmujemy rękawicę. Okazuje się, że klient nie ma dostępu do klastra wirtualizacji, za to ma bardzo duży przyrost danych na macierzach dyskowych, a na stacjach roboczych pojawiają się komunikaty o konieczności zapłaty kilkudziesięciu milionów złotych w formie transferu bitcoin – zapłaty koniecznej, aby otrzymać klucz potrzebny do odzyskania danych. Wszystko jasne – firma ACME padła ofiarą cyberataku szyfrującego dane, tzw. ransomware.
Co to oznacza? Produkcja w firmie zostaje wstrzymana, a kilkuset pracowników zaczyna dzień od przymusowego lunchu z samego rana. Straty firmy wynikające z przestoju to kilkaset tysięcy złotych na godzinę.
Jest 07.15, czas start. Zaczynamy walkę – mówi Łukasz Szulik.
Z ramienia ITPunkt zostaje przydzielony koordynator operacji Disaster Recovery. Środowisko IT klienta zostaje podzielone na dwa główne obszary – część kliencką, czyli stacje robocze, laptopy i inne sprzęty oraz część ważniejszą z punktu widzenia cyberatatku – data center. To właśnie w tej drugiej części prowadzimy prace mające na celu zidentyfikowanie i unieszkodliwienie źródła złośliwego oprogramowania oraz przygotowanie wyizolowanego środowiska, które będzie gotowe do uruchomienia najważniejszych systemów ERP oraz MES po odzyskaniu wartościowej kopii danych.
Okazuje się, że firma ACME posiada co prawda system backupu, ale przechowuje kopie zapasowe bez technologii „air gap”, co oznacza, że nie są odcięte od reszty środowiska, a tym samym – są zaszyfrowane. W praktyce po prostu ich nie ma.
Co więc zrobić? Z pomocą przychodzi wielopoziomowość zabezpieczeń. Choć system backupu nie spełnił swojej roli, istnieją systemy, które wspomagają zabezpieczenie danych, szczególnie w okresach krótkoterminowych. Zaglądamy więc do macierzy dyskowej, wybieramy opcję przywrócenia danych i… niestety, ze względu na ogromny przyrost danych spowodowany procesem szyfrowania, kopie migawkowe na macierzy się „nie zmieściły”!
Kolejny etap: w międzyczasie proces szyfrowania został zidentyfikowany i unieszkodliwiony. Inżynierowie ITPunkt zgłaszają gotowość środowiska wyizolowanego do uruchomienia maszyn wirtualnych, a najważniejsze stacje robocze zostały przeinstalowane automatycznymi mechanizmami.
Rezultat? Godzina 10.20, czyli ponad trzy godziny od rozpoczęcia ataku, a odzyskaliśmy prawie wszystko (poza danymi). Nie mamy backupu oraz snapshotów na macierzy. – relacjonuje Łukasz Szulik.
I wtedy nasz inżynier pracujący z macierzą dyskową odkrywa trochę zapomniany (również przez klienta) fakt. Okazuje się, że podczas naszej pierwszej współpracy – wdrożenia nowej macierzy dyskowej dwa lata temu – zaproponowaliśmy klientowi użycie wycofanej macierzy do wykonywania dodatkowych replikacji pomiędzy systemami przechowywania danych. I to właśnie na tej wysłużonej, ośmioletniej macierzy znajdujemy pełną kopię migawkową z godziny 00.00! Proces szyfrowania danych rozpoczął się po 04.00, więc zapisały się w niej całkiem nowe, wolne od złośliwego oprogramowania dane. Pełen sukces!
Rekonfiguracja replikacji odwrotnej zajmuje kilkanaście minut, a po kilkudziesięciu jesteśmy gotowi uruchamiać pierwsze systemy. Jest godzina 12.45 – po 3,5 h od ataku firma ACME wraca do normalnej pracy – podsumowuje Łukasz Szulik.
Kiedy emocje opadły, na spokojnie przeanalizowaliśmy sytuację wspólnie z klientem. Wniosek był taki – dane są najważniejsze, a każdy inny element środowiska IT można wdrożyć później. Finalnie zapadła decyzja o rozbudowie systemu kopii zapasowych i utworzeniu cyfrowego bunkra, co zaowocowało dłuższą współpracą.
*ACME – A Company Making Everything – popularne w IT określenie przykładowej nazwy firmy.
