Wypadek ten wydarzył się w USA, ale w globalnym świecie może się to przydarzyć także każdej polskiej firmie. Pewnego poranka do jednej z firm zajmujących się bezpieczeństwem systemów IT zgłosił się jej klient, prosząc o poradę, gdzie mógłby kupić wirtualną walutę Bitcoin, bo nie ma w tym żadnego doświadczenia. Po krótkiej wymianie zdań okazało się, że waluta jest mu potrzebna, żeby zapłacić okup.

I to nie dlatego, że ktoś porwał żonę czy syna, ale zaszyfrował dane znajdujące się na siedmiu serwerach i teraz żąda za ich odszyfrowanie określonej kwoty pieniędzy. Do ataku na ten konkretny firmowy system wykorzystano trojan typu ransomware o nazwie CryptoWall.

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem

Administrator systemu IT padł ofiarą phishingu. Po kliknięciu na złośliwy link wszystko potoczyło się błyskawicznie. Zainfekowana stacja robocza administratora systemu zmapowała dyski zainstalowane we wszystkich siedmiu serwerach firmy i uzyskała do nich pełny dostęp, a CryptoWall zaszyfrował znajdujące się na nich dane.

Zaatakowana firma miała oczywiście kopie zapasowe danych i od razu przystąpiono do działania, ale okazało się, że pełne przywrócenie systemu IT do pracy może potrwać nawet kilka dni. W dodatku administrator nie był pewien czy odtworzenie danych odbędzie się bez problemów, bo ostatnie procesy weryfikacji kopii zapasowych były uruchamiane kilka miesięcy wcześniej.

Tak długi przestój mógł oznaczać ogromne kłopoty dla firmy. Odbudowanie biznesu po przerwie, nawet jeśli odtworzenie danych zakończyłoby się sukcesem, byłoby bardzo trudne. Dlatego administrator nie zastanawiał się ani chwili i gdy zgłosił się do niego haker, który zaszyfrował dane i przedstawił propozycję nie do odrzucenia, zaakceptował ją. Okup miał być zapłacony w Bitcoinach.

Firma nie miała doświadczenia z wirtualną walutą, a zwłaszcza pojęcia, jak można ją kupić. Administrator zdecydował się poszukać pomocy w firmie świadczącej usługi z dziedziny bezpieczeństwa, która pomogła mu w szybkim zapłaceniu okupu. Żądana suma wynosiła 1,33 Bitcoin’a, czyli ok. 500 USD. Po zrealizowaniu przelewu hakerzy udostępnili klucz, który pozwolił odszyfrować dane. W sumie operacja przywracania danych trwała 18 godzin. To dość długo, ale i tak wielokrotnie krócej niż gdyby firma zdecydowała się na odbudowanie systemu przy wykorzystaniu jego kopii zapasowych. Odszyfrowywanie danych ciągnęło się godzinami między innymi dlatego, że jednej z baz danych nie udało się przywrócić do początkowego stanu i trzeba było sięgnąć po kopię zapasową.

Już po szczęśliwym finale tej operacji, przedstawiciele firmy usługowej przyznali, że zapłacenie okupu może budzić kontrowersje, ale była to suwerenna decyzja klienta, który właściwie został postawiony pod ścianą – albo zapłaci, albo narazi się na duże straty finansowe, a być może nigdy nie odbuduje swojej reputacji.

Jak się bronić?

A oto kilka porad, dzięki którym firma może znacznie zmniejszyć ryzyko, że zostanie zaatakowana przez malware i znajdzie się w podobnej pułapce.

1. Nigdy nie należy ułatwiać sobie zadania tak, jak to zrobiła wspomniana powyżej firma. Niedopuszczalne jest mapowanie dysków zainstalowanych w produkcyjnych serwerach na stacji roboczej używanej przez administratora. Zamiast tego należy sięgnąć po narzędzia, które zapewnią dostęp do zdalnych dysków.

2. Nie wystarczy regularne tworzenie kopii zapasowych. Trzeba jeszcze systematycznie je testować i sprawdzać, czy ich odtworzenie nie wywoła problemów.

3. Dobrze jest wprowadzić technikę “whitelisting”. Pozwala ona na zablokowanie możliwości uruchomienia w systemie IT programu, który nie znajduje się na „białej liście” zaufanych narzędzi i aplikacji.

4. Warto przeszkolić pracowników, aby wiedzieli co to jest “phishing” i jak się przed nim bronić. To samo dotyczy złośliwego oprogramowania typu “ransomware”.

5. Należy się przygotować się na atak i opracować strategię postępowania, która pozwoli na minimalizację jego skutków i przyspieszy operację odtworzenia systemu.

A trzeba pamiętać, że ataków przy wykorzystaniu oprogramowania ransomware jest coraz więcej. Jak donosi Dell SecureWorks, w samym tylko wrześniu i październiku tego roku CryptoWall zaatakował na całym świecie ponad 830 tys. komputerów.