Badacz z firmy Kaspersky pomaga polskiej gminie odzyskać dane zaszyfrowane przez cyberprzestępców
Kilka dni temu w polskich mediach pojawiła się informacja o ataku oprogramowania ransomware szyfrującego dane na systemy urzędu gminy Kościerzyna. Atakujący zażądali okupu za odszyfrowanie danych, jednak wójt gminy wykazał się postawą godną naśladowania i postanowił nie płacić pieniędzy przestępcom. Dzięki zaangażowaniu badacza z Globalnego Zespołu ds. Badań i Analiz (GReAT) z firmy Kaspersky powstało narzędzie deszyfrujące, które pozwoliło na odzyskanie danych urzędu.
Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.
W ostatnich dniach ofiarą takiego ataku padły systemy informatyczne w urzędzie gminy Kościerzyna. Doszło do zaszyfrowania danych, jednak wójt gminy zdecydował, że nie będzie płacił okupu ani korzystał z pomocy pośredników, którzy wykupiliby klucze pozwalające odszyfrować dyski. Za pośrednictwem gdańskiego ośrodka Fundacji Rozwoju Demokracji Lokalnej nawiązał kontakt ze specjalistką, która zajęła się koordynacją obsługi incydentu.
Ponad tydzień po incydencie podjęto pierwsze działania. Biegli z firmy VS DATA zajmującej się informatyką śledczą dokonali zabezpieczenia śladów działalności intruza w systemach informatycznych urzędu. W wyniku wstępnej analizy zabezpieczonych danych, w ciągu kilku minut zidentyfikowano szkodliwe oprogramowanie, które zaszyfrowało dyski.
Próbka szkodliwego kodu została przesłana równolegle do zespołu CSIRT NASK oraz niezależnego zespołu ekspertów, w tym do eksperta z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky. Zarówno zespół CSIRT NASK jak i badacz z firmy Kaspersky dokonali analizy szkodliwego oprogramowania i ustalili, w jaki sposób wygenerowany został klucz szyfrujący dane oraz stworzyli narzędzia informatyczne, które odszyfrowały pliki. Ostatecznie najważniejsze dla pracy urzędu pliki baz danych odszyfrowano narzędziem przygotowanym przez eksperta z firmy Kaspersky. Po tygodniu od rozpoczęcia prac przywrócono systemy niezbędne do bieżącego funkcjonowania urzędu.
Chciałbym wyrazić ogromne podziękowania dla firmy Kaspersky za bezinteresowną pomoc przy usunięciu skutków ataku hakerskiego na sieć komputerową Urzędu Gminy Kościerzyna. Gratuluję wysokiego poziomu profesjonalizmu, ale również modelowej współpracy przy realizacji tak skomplikowanego projektu. Wasza pomoc była dla nas bezcenna – skomentował Grzegorz Piechowski, wójt gminy Kościerzyna.
Szkodliwe oprogramowanie wykorzystane w ataku na systemy urzędu jest wykrywane przez rozwiązania firmy Kaspersky jako Trojan.Win32.Schoolboy.gen, a także proaktywnie, z użyciem modułów identyfikujących nieznane zagrożenia – jako HEUR:Trojan.Win32.Generic. Podkreśla to zasadność stosowania rozwiązań, które dysponują rozbudowanymi mechanizmami wykrywania zagrożeń w oparciu o analizę zachowania procesów w systemie.
Postawa wójta gminy jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT – powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.