Informujemy, że 28.11.2019 r. Urząd Gminy Kościerzyna został zaatakowany przez cyberprzestępców. Dane urzędu zostały zaszyfrowane. Za odszyfrowanie plików przestępcy żądali okupu.
Wójt Grzegorz Piechowski zawiadomił o przestępstwie lokalną policję oraz zwrócił się o pomoc w pierwszej kolejności do zespołu CSIRT GOV, który przekazał zgłoszenie zgodnie z właściwością do CSIRT NASK. CSIRT NASK jest to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego działający na poziomie krajowym, prowadzony przez Naukową i Akademicką Sieć Komputerową – Polski Instytut Badawczy, do którego należy koordynacja obsługi incydentów zgłaszanych m.in. przez jednostki samorządu terytorialnego. Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, obsługa incydentów oznacza czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację i podejmowanie działań naprawczych i ograniczanie skutków incydentów.
W odpowiedzi na zgłoszenie, CSIRT NASK poinformował wójta, że urząd padł ofiarą złośliwego oprogramowania, które szyfruje pliki oraz że obecnie nie ma żadnego narzędzia informatycznego (dekryptora), które pozwoliłoby je odszyfrować. CSIRT NASK zasugerował zwrócenie się do podmiotu zewnętrznego, który pomógłby w odzyskaniu danych. Jednocześnie wskazał, że zapłata żądanego przez atakującego okupu nie gwarantuje odszyfrowania danych. W rzeczywistości jednak zwrócenie się do podmiotu trzeciego oznacza zapłacenie okupu przez pośrednika, który dolicza sobie marżę za usługę. Proceder ten opisywały portale branżowe: https://niebezpiecznik.pl/post/oferowali-odszyfrowanie-plikow-ale-tak-naprawde-placili-okup-i-doliczali-sobie-marze-za-usluge/
Za pośrednictwem gdańskiego ośrodka Fundacji Rozwoju Demokracji Lokalnej, z inicjatywy Forum Sekretarzy Samorządów Województwa Pomorskiego, Wójt Grzegorz Piechowski nawiązał kontakt z niezależną specjalistką współpracująca z FRDL, która zajęła się koordynacją obsługi incydentu. Zgodnie z ustaloną strategią, współpracując z Urzędem oraz najlepszymi specjalistami zajmującymi się informatyką śledczą i analizą malware, podjęte zostały działania zmierzające do przywrócenia dostępu do zasobów urzędu, bez płacenia okupu przestępcom.
Ponad tydzień po incydencie podjęte zostały pierwsze skoordynowane przez naszą ekspertkę działania. Biegli z firmy VS DATA Laboratorium Śledcze zajmujący się informatyką śledczą dokonali zabezpieczenia śladów działalności intruza w systemach informatycznych urzędu. Dzięki precyzyjnym wskazaniom koordynatorki i kompetencjom członków zespołu informatyków śledczych z VS DATA, w wyniku wstępnej analizy zabezpieczonych danych, w ciągu kilku minut zidentyfikowano złośliwe oprogramowanie, które zaszyfrowało dyski.
Próbka złośliwego oprogramowania została przesłana równolegle do zespołu CSIRT NASK oraz niezależnego zespołu ekspertów. Tego samego dnia niezależnie CSIRT NASK oraz ekspert z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky dokonali analizy szkodliwego oprogramowania i ustalili, w jaki sposób wygenerowany został klucz szyfrujący dane.
Po tygodniu od rozpoczęcia prac przywrócono systemy niezbędne do bieżącego funkcjonowania urzędu.
Mimo przejściowych trudności technicznych pracownicy Urzędu Gminy Kościerzyna oraz jednostek organizacyjnych starali się na bieżąco obsługiwać mieszkańców. W terminie wypłacone zostały wynagrodzenia nauczycieli, nie było żadnych opóźnień w wypłacie zasiłków, obsługiwano przyjmowanie wniosków i wydawanie dowodów osobistych, w miarę możliwości wydawano zaświadczenia i udzielano informacji osobom składającym wnioski do urzędu.
Obecnie systemy komputerowe Gminy Kościerzyna są zabezpieczane najwyższej klasy urządzeniami, które zapobiegną podobnym atakom hakerskim w przyszłości. Prowadzone jest postępowanie prokuratorskie zmierzające do ustalenia sprawców przestępstwa. O incydencie został też poinformowany Urząd Ochrony Danych Osobowych.
Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.
Szkodliwe oprogramowanie wykorzystane w ataku na systemy urzędu jest wykrywane przez rozwiązania firmy Kaspersky jako Trojan.Win32.Schoolboy.gen, a także proaktywnie, z użyciem modułów identyfikujących nieznane zagrożenia – jako HEUR:Trojan.Win32.Generic.
Postawa wójta gminy jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.
To od odpowiedzi lub jej braku ofiar działań cyberprzestępców zależy przyszłość cyberprzestępczości. Jeśli reakcja będzie zdecydowana i stanowcza – nie płacimy okupu, nie rozmawiamy z przestępcami i pośrednikami, poradzimy sobie korzystając z dopuszczalnych instrumentów prawnych oraz informatycznych, podniesiemy sami swoje systemy, a wy poniesiecie negatywne konsekwencje prawne swoich działań – tylko dzięki temu będziemy mogli zmienić obraz cyberprzestępczości. Dlatego musimy reagować z pełną stanowczością i angażować najlepszych specjalistów, aby pomagać ofiarom. Tak, jak w Kościerzynie, gdzie z obywatelskiego obowiązku pomogliśmy wójtowi w sytuacji, kiedy instytucje państwa wydawały się bezradne. – konstatuje nasza ekspertka.
Grzegorz Piechowski
Wójt Gminy Kościerzyna
Dalszych informacji dotyczących wsparcia firmy Kaspersky udziela:
Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: piotr.kupczyk@kaspersky.pl
Tel. bezpośredni: 22 206 59 61
Tel. kom.: 518 935 846
https://www.kaspersky.pl/nowosci.