UMWM poinformował o incydencie z 8 lutego, polegającym na ataku złośliwego oprogramowania szyfrującego pliki. Zdarzenie doprowadziło do utraty dostępu do danych osobowych (m.in. klientów UMWM). Za przywrócenie dostępu atakujący zażądał zapłaty okupu. Żądanie to zostało stanowczo odrzucone.
Urząd Marszałkowski nie stwierdził przejęcia danych osobowych przez osoby nieuprawnione, jednak w konsekwencji ataku terminy spraw zgłoszonych do UMWM mogą się wydłużyć. Część usług nie jest dostępna, a kontakt z pracownikami ogranicza się do formy telefonicznej lub papierowej. Wciąż można korzystać z systemu e-puap.
Z ubiegłorocznego raportu CERT Polska (Computer Emergency Response Team) działającego w strukturach NASK (Naukowa Akademicka Sieć Komputerowa) wynika, że liczba podobnych ataków rośnie, także jeśli idzie o jednostki samorządowe i instytucje użyteczności publicznej.
„Sytuacja jest szczególnie dramatyczna w małych firmach lub organizacjach, które nie mają środków na zapewnienie bezpieczeństwa IT na odpowiednim poziomie. Specjaliści zespołu CERT Polska często się z tym spotykają, np. w przypadku urzędów gmin, szpitali, szkół itp.” - czytamy w raporcie „Krajobraz bezpieczeństwa polskiego internetu.”
W 2019 roku siedem z 26 zarejestrowanych przez CERT ataków z żądaniem okupu (ransomware) dotyczyło urzędów gminy lub powiatu, a sześć - szpitali i klinik. Jeden z poważniejszych miał miejsce w grudniu 2019 r. w urzędzie gminy w Kościerzynie. W efekcie incydentu systemy informatyczne gminy były sparaliżowane przez dwa tygodnie.
Rekomendacje CERT Polska. Co zrobić po ataku ransomware?
Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).
W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.
Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne.
Odwiedź stronę https://www.nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, oraz dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.
Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje, ponieważ oznacza to, że trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.
Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl. W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne dane, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.
Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu. Pamiętaj też, że złośliwe oprogramowanie mogło ukraść z komputera zapamiętane hasła. Dla pewności zmień hasła – przynajmniej do najważniejszych systemów (poczta, bank, sieci społecznościowe).
Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei – w ponad 95 proc. przypadków ofierze nie da się pomóc.
Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło, podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).
Fot. Pixabay
