Ransomware útok

Problém:
Spoločnosť bola napadnutá ransomwarom, ktorý zašifroval dáta pracovnej stanice a následne sa začal šíriť celou sieťou. Okrem viacerých zašifrovaných PC stihol zašifrovať aj obrazovú dokumentáciu spoločnosti zbieranú niekoľko rokov. Požadoval výkupné 6 Bitcoin. Útok paralizoval celú spoločnosť, nakoľko sa do siete pripájali aj viaceré prevádzky z rôznych častí Slovenska a zo zahraničia. Spoločnosť bola bez fungujúceho systému 5 dní.

Príčina:

• Zamestnanec klikol na odkaz v podvodnom e-maile
• Dovolil vykonávanie zmien v systéme
• Až s odstupom viac ako 10 hodín, keď sa problém so šifrovaním prejavil aj na iných staniciach informoval o vlastných problémoch s prácou na PC

Riešenie:
1. Krízové opatrenia:
o Okamžité vypnutie pripojenia centrály do internetu.
o Vypnutie všetkých PC v sieti
2. Dlhodobé zmeny:
o Zavedenie zabezpečeného pripojenia na centrálu z pobočiek a mobilných pracovných zariadení
o Zavedenie segmentácie siete na obmedzenie šírenia malvéru.
o Výrazné sprísnenie podmienok pre pripojenie na centrálu
o Školenia pre zamestnancov o phishingových útokoch.
o Zmena systému zálohovania
o Zavedenie monitorovania neobvyklých aktivít na sieti
o skrátenie periódy kontroly pokusov o narušenie bezpečnosti siete a priebežné úpravy ochrany pred takýmito pokusmi

Výsledok:
Nakoniec, pre chybu v systéme zálohovania bola uhradená požadovaný suma na obnovu zašifrovaných súborov obrazovej dokumentácie. Všetky ostatné dátové zálohy boli dostatočne chránené a boli použité na obnovu serverovej infraštruktúry. Napadnuté PC boli obnovené a ich nastavenia zmenené tak, aby čo najviac obmedzili riziká činnosti užívateľa.