Ma numesc Zombori Antal, sunt fondatorul și asociatul unic al companiei UNIX Auto. În urmă cu un an, compania pe care am fondat-o a decedat de la un moment la altul. Un virus de santaj a atacat si a dus la prăbușirea sistemului integrat de management, inima companiei s-a oprit. Datorită muncii asidue a colegilor noștri și a multor experti externi, am reusit sa resuscitam inima, sa repornim compania.

Eu nu sunt informatician, deși am invatat sa programez într-un mod autodidact și m-am implicat și în scrierea codurilor de baza ale sistemului nostru de management integrat, nu mă consider un adevărat profesionist in IT.

Cu toate acestea, am decis sa descriu evenimentele din propria mea perspectiva si sa împărtășesc experientele noastre cu oricine este interesat de ele. Pe de o parte, este interesantă povestea în sine și modul în care am trait-o din interior. De asemenea, cred ca poate avea caracter instructiv cum am gestionat situația, unde am gresit, ce am făcut bine și cum am reușit sa ieșim din aceasta situatie pentru managerii și profesioniștii IT ai altor companii.

Din partea mea, mi-as dori ca nimeni niciodata sa nu aibă nevoie de astfel de informații și să nu fi experimentat niciodată așa ceva, nici companiilor concurente nu doresc asemenea întâmplare. Dar, la final, voi rezuma experiențele personale, ce cred despre cum poate fi evitată o astfel de situație și cum merită gestionata o asemenea criza.

 

Principalele intamplari din povestea noastra:

MARTI - 30.03.2021

Intr-o zi de lucru aparent normala, ne pregăteam pentru masa de pranz, cand la ora 12:09 serverele și sistemele de supraveghere din sediul central au început sa dea erori și apoi sa se inchida unul după celălalt.

La început nu am înțeles ce se intampla sa am crezut ca este o defecțiune de funcționare, dar din fișierele care au apărut pe desktop-urile Windows schimbate ne-am dat seama rapid ca este vorba de un atac cu un virus de șantaj.

Imediat ce ne-am dat seama de ce se intampla, am început sa inchidem sistemele, ceea ce desigur nu este ușor într-un mediu cu sute de servere. Practic, informaticienii noștri au fost în cursa cu virusul de santajare, care a criptat fișierele la care a ajuns într-un ritm extraordinar. In doar cateva minute, aproape toate serverele, calculatoarele de birou și stațiile de lucru din filiale au devenit inutilizabile. Atacatorii au fost bine pregatiti si au făcut o treaba minutioasa. Dupa cum s-a dovedit ulterior, toata reteaua noastra a fost complet mapata, iar acest atac a fost planificat cu cateva saptamani inainte.

Pana la ora 12:30, grupul de companii UNIX și-a oprit activitatea în toate cele trei tari. A trebuit sa inchidem filialele, s-a oprit centrul logistic. Compania practic a murit, i s-a oprit inima. Am mai auzit de atacuri cibernetice, dar nu am trăit îndeaproape o asemenea devastare. Dimineața obișnuită a devenit brusc un coșmar.

Într-o fereastra pop-up de pe calculatoarele criptate, ni s-a spus cum putem contacta santajatorii, care, într-un mod morbid si-au operat și propriul sistem de serviciu clienți. Pe aceasta pagina am vazut pentru prima data suma de rascumparare ceruta, care a fost de 2.700.000 USD. In cazul in care plateam suma imediat, dupa cum era descris, am fi primit cheia de decriptare necesara si chiar si-au oferit ajutorul si expertiza lor pentru recuperarea datelor. Pe de alta parte, daca nu plateam, suma de rascumpararea s-ar fi dublat la 5,4 milioane de dolari în 5 zile.

Desi, la momentul respectiv existau doar informații parțiale despre daune și starea salvarilor, am decis să nu lăsăm loc santajarii, sa nu platim, ci sa ne refacem sistemele informatice din salvari si astfel sa repornim compania. Eram convins ca daca platim, dacă lăsăm loc șantajului, nu se va termina niciodata, nu ne vor da drumul, iar daca ne repornim sistemele, în cateva zile vom fi din nou aici.

Inainte de atac, credeam ca avem pregatire si protectie adecvata ceea ce privește operațiunile IT și de securitate. Aveam firewall-uri, sisteme de supraveghere și autorizare, protectie endpoint impotriva virusilor, sisteme de backup pe disc, sisteme de backup pe banda, salvari complete, salvari diferentiale, mai multe decat este obișnuit in industrie. Oricum, ne-am gandit ca un astfel de atac se poate întâmpla doar la alte companii. Ne-am inselat. Toate acestea au fost prea puține. Împotriva unui astfel de atac, aceste sisteme s-au dovedit insuficiente. Am fost nevoiți sa recunoastem socoti ca lumea s-a schimbat, ceea ce ieri credeam imposibil, azi s-a intamplat.

Am căutat și am cerut ajutorul profesionistilor in securitate IT cu experiență în prevenirea atacurilor cu viruși. Pana seara, împreuna cu proprii noștri profesioniști, o echipa de 50-60 de persoane lucrau pentru a rezolva problemele. Am început sa evaluam daunele si am început reparațiile, mai intai am încercat din fișierele salvate. A functionat din prima. Era deja aproape miezul nopții cand a devenit evident că și controlerul domain recuperat din salvare era infectat. De indata ce l-am pornit, hackerii au încercat imediat sa preia controlul.

Din cererea de rascumparare era deja clar ca suntem atacati de grupul de santaj REvil- Sodinokibi. Denumirea nu a însemnat mare lucru pentru noi, nu auzisem de ei pana acum. Pe masura ce soseau experții, au confirmat ceea ce am găsit și noi pe web despre aceasta grupare. Din nefericire, ne-am trezit fata în fata cu una dintre cele mai de succes și, in acelasi timp, cele mai periculoase grupe de gangsteri din lume, fara scrupule. 

Dupa cum s-a dovedit ulterior, noi și alte sute de victime ale lor am fost atacați cu o arma cibernetica militară împotriva careia sistemele de preventie, antivirus si firewall-urile conventionale au fost fără efect.

Potrivit raportului experților, au putut intra la noi în sistem printr-un e-mail deghizat în scrisoare bancară din luna ianuarie, cu doua luni înainte de atacul propriu zis.

În scrisoarea respectivă era ascuns un mic virus, care, după ce a pătruns la noi în sistem (fiindcă colegul nostru a dat clic pe e-mail fara banuiala), a tras dupa sine celelalte elemente ale armei. S-au ascuns la noi, s-au înmulțit și s-au raspandit frumos în rețea. Au monitorizat traficul de rețea, si-au copiat pachetele de date de autorizare și au așteptat frumos ca cineva să se conecteze cu privilegii de administrator. Apoi acest mic program dragut, în posesia acestor informații de autentificare, și-a dat privilegii de administrator și apoi a deschis o intrare din spate pe firewall-uri. Apoi a creat un virus care a efectuat criptarea și l-a răspândit în rețea. Acesta a fost punctul în care sistemele antivirus au semnalat intrusul, dar era prea tarziu. Si, desigur micul prieten a chemat în sistem hackerii, care din acel punct au controlat de la distanța dispozitivele, excluzandu-ne in mare parte din propria noastra retea. Potrivit raportului, atunci cand arma a intrat in reteaua noastra, datorită naturii și capacităților sale nu am avut nicio șansa sa ne aparam.

În jur de miezul nopții a devenit clar ca nu putem face altceva decat sa reconstruim întregul sistem de la zero, fiindcă și salvarile noastre erau contaminate. Totul era paralizat, sistemul era complet oprit:

Am început prin a descarca un pachet de instalare pentru server Windows și am inceput sa-l instalam, lasand deoparte toate backup-urile anterioare. Am folosit doar datele din salvari si acelea doar după o examinare si curatare amănunțită.

 

MIERCURI - 31.03.2021

In zori, prima noastra mica retea Windows a fost activata, după care am început reclădirea. Fiecare sarcina a fost gestionata de un grup separat.

In acest moment compania nu functiona deja timp de 24 de ore. Nu știam cand putem începe din nou, știam doar că avem foarte mult de lucru. Toti eram obositi, dar nimeni nu s-a plans, toti isi faceau treaba.

Nu am avut alt echipament la dispoziție, prin urmare am coordonat munca pe o tabla flipchart. Fiindcă nu functiona nici sistemul de corespondență, am transmis informațiile actuale intre noi prin fotografierea panoului și trimiterea pozelor.

Am început recuperarea. Fiecare server, notebook, calculator de birou, dispozitiv PDA din companie a trebuit reinstalat, fiindcă virusul putea fi ascuns oriunde. Desigur, a fost un proces infinit de lent, cu peste 300 de servere diferite de instalat si aproape 3.000 de stații de lucru în 166 de locații diferite. Și încă nu am amintit celelalte gadget-uri, miile de PDA-uri și alte dispozitive inteligente. Dar nimeni nu era mahnit, cu gandul la sarcina, toata lumea își făcea treaba. O data la cateva ore am ținut un instructaj, unde am discutat statusul fiecărei echipe, ce idei noi exista sau ce obstacole am intampinat.

Evaluarea daunelor a continuat pe parcursul zilei, timp în care am identificat tot mai multe pierderi. Întreaga sursa al sistemului de management integrat a companiei a fost pierdută, iar salvarile centrale al sursei programului a fost complet distrus. Începem sa ne pierdem speranta, nu vedeam deloc lumina de la capătul tunelului.

Mai tarziu, în cursul dupa-amiezii, incet, am reușit cumva sa "gasim firul". Au venit vești mai bune, catalogul de salvari de siguranta pe banda a fost recuperat și am mai găsit alte salvari. De pe calculatorul unui dezvoltator software a fost făcută o copie de rezerva chiar înainte de atac, astfel am găsit și codul sursă al programului de management integrat a companiei pe un stick de memorie uitat pe masa. 

Au apărut pe rând elementele fără de care nu am fi putut reporni compania. Pentru noi a fost ca un miracol divin. Probabil ca a si fost pentru ca multe coincidente ne-au ajutat munca. Eram încă departe de obiectiv, dar deja era speranta, a apărut lumina de la capătul tunelului.

JOI - 01.04.2021

În aceasta zi am pregatit primele schițe a noilor baze de funcționare.

După multe discuții, am decis împreună ca nu vom restabili starea de dinaintea atacului. Dacă deja sistemul a fost distrus pana la pamant, ne vom folosi de oprirea forțată și vom așeza pe baze noi sistemul nostru informatic. Am dorit să întoarcem dezavantajul momentan într-un avantaj. Si, desigur, asa era sigur si logic. Ne-a fost teama ca, dacă pur și simplu restabilim starea inițială, nu ne vom simți in siguranță niciun minut.

La inceput mi-am mazgalit idea doar pe o coala de hartie simpla A4:

Apoi am dezvoltat impreuna idea si am schitat versiunea dezvoltata pe un flipchart:

Aceasta coala a devenit biblia, temelia restaurarii. Desigur, pana acum a devenit mult mai complicata si mult mai complexa.

Numarul versiunii programului azi este 12.5, ceea ce indica ca am utilizat 125 de versiuni diferite. Desigur, pentru inceput a fost de ajuns si cel de baza in care erau deja multe schimbari, pentru ca mediul sa nu poata fi identificat de hackeri si bineinteles l-am putut proteja mai bine.

Una dintre numeroasele modificari a fost sa ne punem la punct propriul sistem de operare pentru calculatoarele din filiale.

O echipa separata a lucrat la "propriul sistem de operare":

 

La ora 03:25, dupa multe incercari esuate, am reusit sa cream si sa lansam primul pachet de instalare al propriului sistem de operare. Sistemul functioneaza atat de bine incat il folosim si in prezent.

In aceasta zi am putut incepe instalarea pe mai mult de 200 de calculatoare din 164 de filiale. Pentru a efectua instalarile, am achizitionat toate stick-urile de memorie de la marii comercianti, pe care am incarcat pachetele de stergere si instalare.

Am livrat stick-urile la filialele noastre cu ajutorul Agentilor livratori. De asemenea, am pregatit o descriere separata si un tutorial video pentru instalare, pe baza careia filialele au efectuat instalarile. Fiecare stick a fost utilizat o singura data, dupa care le-am colectat cu atentie pentru a preveni infectarea accidentala ulterioara. Dupa ce s-au intors, au fost adunate si puteau fi refolosite doar dupa formatare.

Pentru restaurarea sistemului, crearea unui nou mediu si consolidarea sistemului central am achizitionat o multime de dispozitive noi. 

VINERI - 02.04.2021 - VINEREA MARE

Era a treia zi. Am reusit sa pornim baza de date centrala si atunci am vazut prima data timpul de nefunctionare provocat de atac, la nivel de date.

Rezultatul este: 17 minute. Acestea sunt minutele care le-am pierdut din viata noastra. Doar atat din datele noastre s-a pierdut definitiv, restul am reusit sa le recuperam.

Obositi, dar deja entuziasmati si veseli, am continuat sa reinstalam programele pe serverele de deservire si sa restabilim bazele retelei noastre. In momentul respectiv eu pregateam omleta pentru micul dejun in bucataria restaurantului UNIX Café:

 

Seara la ora 21:44:32 am reusit sa pornim prima versiune Trade Line sistemul de management al companiei noastre. A fost o realizare uriasa, care poate fi considerata ca momentul renasterii companiei noastre. Din momentul respectiv inima companiei noastre a inceput sa bata din nou.

Datorita faptului ca am restructurat complet sistemul, am dezvoltat mai multe sisteme independente, segmentate, totul trebuia cablat din nou. Nu doar camera serverelor, ci si birourile centrale precum si centrul logistic. 

 

MARTI - 06.04.2021

Au mai trecut trei zile. Dupa ce am petrecut tot sfarsitul de saptamana, inclusiv Sarbatorile Pascale la munca, am ajuns la punctul culminant al zilei de marti, am vazut lumina de la capatul tunelului. Pe langa multe alte sarcini pe care le aveam in fata, am reusit sa deschidem cateva filiale. Desi nu am reusit sa deschidem in totalitate, dar am reusit sa preluam comenzi si sa incepem sa vindem. Acest lucru a fost invierea noastra de Paste, care a fost acelasi miracol divin ca si cel de acum doua mii de ani.

Am dezvoltat o noua structura, un sistem de securitate si un nou sistem de supraveghere securitate, respectiv am schimbat modul de functionare al sistemului nostru. Miercuri, compania a functionat la capacitate maxima, toate filialele noastre au fost deschise si procentajul cifrei noastre de afaceri fata cu ceea ce eram obisnuiti a fost undeva la circa 80- 90%. Desigur am fost inca departe de a fi terminat munca, si pana in prezent lucram constant la imbunatatirea sistemului de securitate IT.

Ce am invatat din aceasta intamplare? Nimeni nu are voie sa creada ca este pregatit si protejat de atacurile hackerilor. Trebuie sa ne gandim incontinuu unde putem sa ne imbunatatim siguranta operationala. Daca avem raspunsul, nu este timp de pierdut, este necesara interventia activa imediata fiindca in acest razboi cibernetic nu exista armistitiu.

Unul dintre colegii mei, dezvoltator software, a scris despre acest caz:

"Nu m-am gandit niciodata ca voi fi vreodata parte a unui atac cibernetic atat de grav, dar inevitabil am fost prins in mijlocul acestuia.

Pot afirma ca am trait si m-am imbogatit cu o experienta nepretuita care nu este data multora. 

Incidentul a afectat incontestabil toti angajatii companiei deoarece nesiguranta, necunoscutul, au evocat in mod involuntar, sentimente negative in noi toti.

Totusi a fost bine sa experimentam si sa vedem in acelasi timp, ca in aceasta stare tensionata am incercat cu totii sa fim solidari si sa ne ridicam impreuna de la pamant. Chiar si in momentele in care creierul nostru se gandea la urmatorul pas, la urmatoarea sarcina cand nimeni nu stia inca ce ne asteapta in urmatoarele zile, saptamani, luni. Cred ca pot spune cu siguranta ca este adevarata zicala: "Prietenul adevarat la nevoie se cunoaste." in cazul nostru colegul de munca. Am pierdut cativa colegi, totusi majoritatea au dat dovada de o perseverenta de neegalat."

In cele din urma pentru Managerii de companii si Managerii IT as rezuma propria mea experienta legata de acest subiect:

Cum sa evitam un atac cu un virus de tip santaj?

• Este necesara utilizarea unei politici stricte ale parolelor de acces, utilizati parole cat mai complexe posibil!

• Utilizati cat mai putine parole de administrator, iar angajatii cu drepturi de administrator sa aiba doua nume de utilizator, unul pentru efectuarea sarcinilor zilnice, iar celalalt pentru efectuarea sarcinilor de administrator sistem! De asemenea sa solicitam ca acestea sa fie utilizate conform celor prezentate!

• Utilizati un sistem de autentificare din mai multi pasi! Obligatoriu pentru administratorii de sistem, dar nu strica si in cazul angajatilor.

• Segmentati reteaua in retele mai mici de sine statatoare care nu genereaza pierderi atat de mari! 

• Utilizati mai multe firewall-uri, pe mai multe nivele!

• Sa aveti un sistem de monitorizare extern, independent! Merita sa semnati un contract cu o companie SOC (Security Operation Center), deschisa 24 de ore.

• In plus se recomanda monitorizarea continua a traficului de retea, cu un dispozitiv tinta. Exista solutii bazate pe inteligenta artificiala care observa virusul "cand suna acasa la gazda".

• Angajatii trebuie instruiti in continuu despre bazele securitatii IT.

• Reteaua trebuie sa fie bine documentata pentru a evita cautarile in caz de probleme!

• Toate informatiile necesare pentru preventie si recuperare trebuie sa fie printate! (eventual intr-o carte)

• Sa existe un plan de recuperare, reconstructie!

• Aveti nevoie de echipamente de backup, nu strica sa aveti un sistem complet de rezerva. Este in regula si daca aveti doar un sistem cu functionalitati reduse care deserveste sarcinile de afaceri de baza, dar sa nu se opreasca functionarea sistemului deoarece acest lucru este pierderea reala.

• Sa aveti totul salvat, nu este o problema daca aveti mai multe backup-uri!

• Backup-urile de sistem sa fie efectuate cat de des posibil, bineinteles in limite rezonabile. Noi am avut un sistem de backup care salva automat baza de date la fiecare 30 de minute, astfel am pierdut doar a 17 minute. Daca ar fi fost doar o “salvare zilnica", am fi fost intr-o situatie fara speranta.

• Si intre timp retineti: adevarata protectie prin care niciun virus informatic nu poate trece se numeste spatiu de aer. Un backup separat de retea este backup-ul real. Backup-ul disponibil direct din retea este doar un sentiment fals de securitate, acesta este furat de virus in aceasi modalitate ca si baza de date reala.

• Confortul administratorului de retea este foarte important, dar securitatea este si mai importanta. 

• Posibilitatea de distribuire, de tip "C$", trebuie eliminata din sistem obligatoriu. Dar, in general merita sa evitati orice distribuire, partajare. Orice lucru poate fi rulat doar printr-un protocol, de exemplu: prin intermediul unui server http, care cu siguranta poate fi configurat cu un sistem eficient de autorizare cum ar fi autentificarea multifactoriala.

• Un jurnal de modificari din care un sistem de feedback/alerta poate salva vieti. Daca noi am fi avut un astfel de sistem, am fi observat cand virusul isi acorda drepturi de administrator de retea sau cand a deschis usa din spate de pe firewall.

• Sa aveti un sistem de inregistrare evenimente robust si bine parametrizat, deoarece daca apare o problema, este foarte important sa gasim vectorul de atac cat mai repede posibil. Desi noi aveam unul, parametrii acestuia nu erau optimizati, a inregistrat prea multe date. Astfel a avut o baza mare de date inutila, am asteptat foarte mult pana cand am reusit sa extragem date utile din acesta.

Si daca totusi apare problema?

• Opriti totul cat mai repede posibil, in astfel de cazuri nu este o problema daca oprirea nu se efectueaza corect. Si noi am smuls cablurile din calculatoare. Aceasta este cea mai mica problema...

• Prima data chemati un profesionist, nu experimentati! Profesionistii din domeniu sunt scumpi, ca si avocatii buni. Sunt chiar si mai scumpi, dar fara ei nu va merge remedierea problemelor.

• Trebuie stabilit de unde si cum au venit atacatorii. Acest lucru este numit de profesionisti vectorul de atac.

• Odata ce s-a gasit vectorul, specialistul va va spune ce trebuie schimbat, pentru a umple gaura anterioara. (Pentru acest lucru avem nevoie de un specialist deoarece daca reconstruim totul pe aceeasi schema, in cateva minute vom fi in acelasi loc de unde am plecat.)

• Desi in astfel de cazuri simtim ca lumea se prabuseste in jurul nostru, trebuie totusi sa incercam sa ramanem calmi si rabdatori. Avem nevoie de un plan, daca nu avem un plan intocmit anterior, discutati cu specialistii si planificati calm procesul, cel putin pasii principali, exact cum si in ce ordine vor fi efectuati si ce procese vor fi restabilite.

• Nu avem voie sa fim nervosi si grabiti! Pierderea va fi cu siguranta uriasa. Nu este cazul sa ne ocupam de pierderi. Nu trebuie sa va grabiti, pentru ca daca va grabiti puteti ajunge cu usurinta de unde ati plecat. Planul trebuie implementat frumos pas cu pas.
  Pe scurt: pierderea directa, reconstructia sistemului, pierderea adaosului comercial in urma pierderii cifrei de afaceri este mult mai mare decat 2.700.000 Euro. (dar poate ca atinge suma de 5.400.000 Euro)
  Daca plateam 2,7 milioane de dolari, atunci costurile ar fi ramas cu mult sub 2,7 milioane de Euro, mult mai putin timp de nefunctionare si mai putine pierderi privind cifra de afaceri. A meritat? Nu era mai bine sa platim? Nu, cred ca oricum am luat o decizie buna.
  Astazi avem o infrastructura IT mult mai avansata, moderna, sigura si fiabila.
  Pot fi doua cazuri cand trebuie platita taxa solicitata: daca nu exista backup, sau daca informatii delicate ajung in mainile santajatorilor, ca si in cazul Apple.
  Ca si orice poveste si aceasta are o continuare. Iata finalul:
  La cateva luni dupa incidentul nostru, in vara anului 2021, activitatile REvil deja deranjau atat de mult guvernul SUA incat aceste atacuri cu virus de tip santaj au fost discutate si la summit-ul Biden-Putin. Mai mult, potrivit stirilor acestia au reusit sa se certe atat de tare pe tema asta incat summit-ul a fost intrerupt.
  Dupa acestea Departamentul de Justitie al SUA a oferit o recompensa de 10 milioane de dolari pentru informatii care conduc la membrii grupului de infractori.
  In cele din urma REvil a fost invins de Serviciul Secret SUA cu propria s-a arma, care a infectat cu succes serverele REvil cu un virus cu ajutorul caruia au avut posibilitatea de a urmari unde se afla acestia.
  Atunci grupul s-a desfiintat si au inceput sa fuga. O parte din gangsteri au fost arestati in Polonia si Romania, iar restul echipei a fost capturat de FSB in Rusia.
  
  
  Erau hackeri ai caror suport pentru lenjeria de pat a fost plina de bani.
  
  Membrii grupului care au fost capturati in Rusia nu au fost extradati in Statele Unite. Astfel pe buna dreptate se poate pune intrebarea daca acum sunt la inchisoare sau lucreaza pentru FSB sau guvernul rus...? Oricare ar fi adevarul noi trebuie neaparat sa ne mentinem vigilenta!
  Sper ca sunt cititori pe care i-am ajutat cu acest articol, cu prezentarea experientelor mele.
  Cu stima: Zombori Antal

Sursă: https://www.unixauto.ro/buletin-informativ/atacul-hackerilor---30-03-2021 

 

3186 persoane au citit acest articol.