Badacz z firmy Kaspersky pomaga polskiej gminie odzyskać dane zaszyfrowane przez cyberprzestępców


Badacz z firmy Kaspersky pomaga polskiej gminie odzyskać dane zaszyfrowane przez cyberprzestępców
2019-12-13
Kilka dni temu w polskich mediach pojawiła się informacja o ataku oprogramowania ransomware szyfrującego dane na systemy urzędu gminy Kościerzyna.

Ataki oprogramowania ransomware od kilku lat spędzają sen z powiek organizacjom publicznym, placówkom służby zdrowia, korporacjom, a także konsumentom. Tylko w 2019 roku technologie firmy Kaspersky zidentyfikowały i powstrzymały cyberprzestępcze działania tego rodzaju na komputerach ponad 750 tysięcy użytkowników.

W ostatnich dniach ofiarą takiego ataku padły systemy informatyczne w urzędzie gminy Kościerzyna. Doszło do zaszyfrowania danych, jednak wójt gminy zdecydował, że nie będzie płacił okupu ani korzystał z pomocy pośredników, którzy wykupiliby klucze pozwalające odszyfrować dyski. Za pośrednictwem gdańskiego ośrodka Fundacji Rozwoju Demokracji Lokalnej nawiązał kontakt ze specjalistką, która zajęła się koordynacją obsługi incydentu.

Ponad tydzień po incydencie podjęto pierwsze działania. Biegli z firmy VS DATA zajmującej się informatyką śledczą dokonali zabezpieczenia śladów działalności intruza w systemach informatycznych urzędu. W wyniku wstępnej analizy zabezpieczonych danych, w ciągu kilku minut zidentyfikowano szkodliwe oprogramowanie, które zaszyfrowało dyski.

Próbka szkodliwego kodu została przesłana równolegle do zespołu CSIRT NASK oraz niezależnego zespołu ekspertów, w tym do eksperta z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky. Zarówno zespół CSIRT NASK jak i badacz z firmy Kaspersky dokonali analizy szkodliwego oprogramowania i ustalili, w jaki sposób wygenerowany został klucz szyfrujący dane oraz stworzyli narzędzia informatyczne, które odszyfrowały pliki. Ostatecznie najważniejsze dla pracy urzędu pliki baz danych odszyfrowano narzędziem przygotowanym przez eksperta z firmy Kaspersky. Po tygodniu od rozpoczęcia prac przywrócono systemy niezbędne do bieżącego funkcjonowania urzędu.

Szkodliwe oprogramowanie wykorzystane w ataku na systemy urzędu jest wykrywane przez rozwiązania firmy Kaspersky jako Trojan.Win32.Schoolboy.gen, a także proaktywnie, z użyciem modułów identyfikujących nieznane zagrożenia – jako HEUR:Trojan.Win32.Generic. Podkreśla to zasadność stosowania rozwiązań, które dysponują rozbudowanymi mechanizmami wykrywania zagrożeń w oparciu o analizę zachowania procesów w systemie.

Postawa wójta gminy jest godna naśladowania. Płacenie okupu cyberprzestępcom nie gwarantuje odzyskania danych, a ponadto finansuje nielegalną działalność i motywuje do kolejnych ataków. Jesteśmy szczęśliwi, że w tym przypadku udział eksperta z firmy Kaspersky umożliwił odzyskanie istotnych danych. Poza dostarczaniem rozwiązań bezpieczeństwa kładziemy duży nacisk na udzielanie pomocy w niestandardowych przypadkach, co nie zawsze są w stanie zapewnić inne firmy zajmujące się bezpieczeństwem IT  powiedział Piotr Kupczyk, dyrektor biura komunikacji z mediami, Kaspersky Lab Polska.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.



Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl