25 minute read
Atac cibernetic – Renașterea UNIX Auto
30.03.2021.
În urmă cu un an, pe data de 30.03 treceam prin cele mai grele zile din viața companiei. Am fost loviți de un atac cibernetic. Compania practic a murit, i s-a oprit inima. Cu toate acestea, datorită colaborării, perseverenței muncii asidue a colegilor noștri și a unor minuni divine ne-am revenit. La începutul lunii aprilie 2021 compania UNIX Auto a renăscut. Zombori Antal, Asociatul unic a companiei și-a împărtășit gândurile, dificultățile și experiențele despre atacul hackerilor din 30 martie 2021.
Stimați parteneri, colegi, concurenți, directori și informaticieni ai altor companii, stimabile Cititor,
Mă numesc Zombori Antal, sunt fondatorul și asociatul unic al companiei UNIX Auto. În urmă cu un an, compania pe care am fondat-o a decedat de la un moment la altul. Un virus de șantaj a atacat și a dus la prăbușirea sistemului integrat de management, inima companiei s-a oprit. Datorită muncii asidue a colegilor noștri și a multor experți externi, am reușit să resuscităm inima, să repornim compania.
Eu nu sunt informatician, deși am învățat să programez într-un mod autodidact și m-am implicat și în scrierea codurilor de bază ale sistemului nostru de management integrat, nu mă consider un adevărat profesionist în IT.
Cu toate acestea, am decis să descriu evenimentele din propria mea perspectivă și să împărtășesc experiențele noastre cu oricine este interesat de ele. Pe de o parte, este interesantă povestea în sine și modul în care am trăit-o din interior. De asemenea, cred că poate avea caracter instructiv cum am gestionat situația, unde am greșit, ce am făcut bine și cum am reușit să ieșim din această situație pentru managerii și profesioniștii IT ai altor companii. Din partea mea, mi-aș dori ca nimeni niciodată să nu aibă nevoie de astfel de informații și să nu fi experimentat niciodată așa ceva, nici companiilor concurente nu doresc asemenea întâmplare. Dar, la final, voi rezuma experiențele personale, ce cred despre cum poate fi evitată o astfel de situație și cum merită gestionată o asemenea criză. Imediat ce ne-am dat seama de ce se întâmplă, am început să închidem sistemele, ceea ce desigur nu este ușor într-un mediu cu sute de servere. Practic, informaticienii noștri au fost în cursă cu virusul de șantajare, care a criptat fișierele la care a ajuns într-un ritm extraordinar. În doar câteva minute, aproape toate serverele, calculatoarele de birou și stațiile de lucru din filiale au devenit inutilizabile. Atacatorii au fost bine pregătiți și au făcut a treabă minuțioasă. După cum s-a dovedit ulterior, toată rețeaua noastră a fost complet mapată, iar acest atac a fost planificat cu câteva săptămâni înainte.
Principalele întâmplări din povestea noastră:
MARȚI - 30.03.2021
Într-o zi de lucru aparent normală, ne pregăteam pentru masa de prânz, când la ora 12:09 serverele și sistemele de supraveghere din sediul central au început să dea erori și apoi să se închidă unul după celălalt.
La început nu am înțeles ce se întâmplă și am crezut că este o defecțiune de funcționare, dar din fișierele care au apărut pe desktop-urile Windows schimbate ne-am dat seama rapid că este vorba de un atac cu un virus de șantaj. Până la ora 12:30, grupul de companii UNIX și-a oprit activitatea în toate cele trei țări. A trebuit să închidem filialele, s-a oprit centrul logistic. Compania practic a murit, i s-a oprit inima. Am mai auzit de atacuri cibernetice, dar nu am trăit îndeaproape o asemenea devastare. Dimineața obișnuită a devenit brusc un coșmar. Într-o fereastră pop-up de pe calculatoarele criptate, ni s-a spus cum putem contacta șantajatorii, care, într-un mod morbid și-au operat și propriul sistem de serviciu clienți. Pe această pagină am văzut pentru prima dată suma de răscumpărarea cerută, care a fost de 2.700.000 USD. În cazul în care plăteam suma imediat, după cum era descris, am fi primit cheia de decriptare necesară și chiar și-au oferit
ajutorul și expertiza lor pentru recuperarea datelor. Pe de altă parte, dacă nu plăteam, suma de răscumpărarea s-ar fi dublat la 5,4 milioane de dolari în 5 zile.
Deși, la momentul respectiv existau doar informații parțiale despre daune și starea salvărilor, am decis să nu lăsăm loc șantajării, să nu plătim, ci să ne refacem sistemele informatice din salvări și astfel să repornim compania. Eram convins că dacă plătim, dacă lăsăm loc șantajului, nu se va termina niciodată, nu ne vor da drumul, iar dacă ne repornim sistemele, în câteva zile vom fi din nou aici.
Înainte de atac, credeam că avem pregătire și protecție adecvată ceea ce privește operațiunile IT și de securitate. Aveam firewall-uri, sisteme de supraveghere și autorizare, protecție endpoint împotriva virușilor, sisteme de backup pe disc, sisteme de backup pe bandă, salvări complete, salvări diferențiale, mai multe decât este obișnuit în industrie. Oricum, ne-am gândit că un astfel de atac se poate întâmpla doar la alte companii. Ne-am înșelat. Toate acestea au fost prea puține. Împotriva unui astfel de atac, aceste sisteme s-au dovedit insuficiente. Am fost nevoiți să recunoaștem șocați că lumea s-a schimbat, ceea ce ieri credeam imposibil, azi s-a întâmplat.
Am căutat și am cerut ajutorul profesioniștilor în securitate IT cu experiență în prevenirea atacurilor cu viruși. Până seara, împreună cu proprii noștri profesioniști, o echipă de 50-60 de persoane lucrau pentru a rezolva problemele. Am început să evaluăm daunele și am început reparațiile, mai întâi am încercat din fișierele salvate. A funcționat din prima. Era deja aproape miezul nopții când a devenit evident că și controlerul domain recuperat din salvare era infectat. De îndată ce l-am pornit, hackerii au încercat imediat să preia controlul.
Din cererea de răscumpărare era deja clar că suntem atacați de grupul de șantaj REvil-Sodinokibi. Denumirea nu a însemnat mare lucru pentru noi, nu auzisem de ei până acum. Pe măsură ce soseau experții, au confirmat ceea ce am găsit și noi pe web despre această grupare. Din nefericire, neam trezit față în față cu una dintre cele mai de succes și, în același timp, cele mai periculoase grupe de gangsteri din lume, fără scrupule. Cele mai faimoase „fapte eroice” ale lor sunt enumerate într-un articol Wikipedia, care vorbesc de la sine:
https://en.wikipedia.org/wiki/REvil • În mai 2020, au cerut o răscumpărare de 42 de milioane de dolari de la Donald Trump, președintele Statelor Unite, pentru a nu dezvălui date sensibile care au fost furate de la cabinetul de avocatură Grubman Shire Meiselas &
Sacks în timpul unei intruziuni. Cu date furate tot de aici au fost șantajați mai mulți artiști celebri precum Elton John,
Madonna, Bruce Pringsteen, Nicky Minaj, Mariah Carey, Lady
Gaga. • În primăvara anului 2021, atunci când am fost atacați și noi, s-au infiltrat în Cooperativa școlară Harris din SUA, paralizând multe școli timp de câteva săptămâni. • Tot în această perioadă, a fost lovite de atacuri similare câteva mari companii precum KIA Motors, Palfinger etc.
• Dar au intrat și la producătorul de calculatoare ACER din
Coreea, cerând de la ei 50 de milioane de dolari.
• Au spart sistemul Quanta Computer, un furnizor de laptopuri Apple și Apple Watch pentru Apple. De aici au furat documentația de producție a produselor noi, șantajând în primă instanță Quanta Computer și apoi direct gigantul
Apple.
• O companie americană numită JBS SA a fost paralizată, provocând o problemă serioasă de aprovizionare cu carne în America.
• Compania americană Colonial Pipeline a fost, de asemenea, paralizată, provocând o criză de combustibil în largul coastei de est a Americii.
• Dar „cascadoria” cea mai de succes a lor a fost un atac asupra unei companii IT numită Kaseya. Este o companie care dezvoltă sisteme de monitorizare a rețelei, așa că sute de mii (!!!) de calculatoare au fost infectate prin ea în același timp, provocând o criză IT la nivel mondial.
După cum s-a dovedit ulterior, noi și alte sute de victime ale lor am fost atacați cu o armă cibernetică militară împotriva căreia sistemele de prevenție, antivirus și firewall-urile convenționale au fost fără efect. Potrivit raportului experților, au putut intra la noi în sistem printr-un e-mail deghizat în scrisoare bancară din luna ianuarie, cu două luni înainte de atacul propriu zis.
În scrisoarea respectivă era ascuns un mic virus, care, după ce a pătruns la noi în sistem (fiindcă colegul nostru a dat clic pe e-mail fără bănuială), a tras după sine celelalte elemente ale armei. S-au ascuns la noi, s-au înmulțit și s-au răspândit frumos în rețea. Au monitorizat traficul de rețea, și-au copiat pachetele de date de autorizare și au așteptat frumos ca cineva să se conecteze cu privilegii de administrator. Apoi acest mic program drăguț, în posesia acestor informații de autentificare, și-a dat privilegii de administrator și apoi a deschis o intrare din spate pe firewall-uri. Apoi a creat un virus care a efectuat criptarea și l-a răspândit în rețea. Acesta a fost punctul în care sistemele antivirus au semnalat intrusul, dar era prea târziu. Și, desigur micul prieten a chemat în sistem hackerii, care din acel punct au controlat de la distanță dispozitivele, excluzându-ne în mare parte din propria noastră rețea. Potrivit raportului, atunci când arma a intrat în rețeaua noastră, datorită naturii și capacităților sale nu am avut nicio șansă să ne apărăm: „Pe baza datelor de scanare criminalistică și a analizei corelațiilor, pe dispozitivele infectate cu malware au fost plantați sonde beacon Cobalt Strike. Prin acestea, dispozitivele infectate au fost făcute parte din rețeaua bot și, profitând de capacitățile atacatorului, au putut obține acces direct la rețea. Din acel moment, capacitățile de apărare ale companiei UNIX Auto împotriva atacului au fost reduse practic la zero.”
Potrivit legendelor de pe internet, bazele acestei arme cibernetice au fost dezvoltate de o companie privată în urmă cu câțiva ani, la comanda armatei SUA. Predecesorul sistemului ar fi fost folosit de armata americană, printre altele, pentru a paraliza producția iraniană de uraniu, cunoscută și sub numele de Stuxnet. Cu ajutorul acesteia, centrifugele de îmbogățire a uraniului din Iran au fost distruse prin supraîncărcarea software-ului de control. O versiune îmbunătățită a fost furată de la compania dezvoltatoare și convertită într-un virus de șantaj. Sistemul Cobalt Strike Beacon, care stă la baza programului „simulare de atac”, este un produs care se vinde pe piață și poate fi cumpărat. Ironia sorții este faptul că, după cum s-a dovedit ulterior, noi am fost aproape singurii care nu i-am plătit pe șantajiști. Printre companii au fost care au recunoscut deschis că au plătit, precum JBS, Colonial Pipeline, fabrica de calculatoare Acer. Unii nu au comentat pe această temă. De exemplu, Donald Trump sau Apple au tăcut profund cu privire la achitarea sumei de răscumpărare. Cu toate acestea, nici informațiile sensibile ale lui Donald Trump, nici datele Apple nu au ieșit la iveală, prin urmare putem presupune că și ei au plătit.
Revenind la întâmplarea noastră, în jur de miezul nopții a devenit clar că nu putem face altceva decât să reconstruim întregul sistem de la zero, fiindcă și salvările noastre erau contaminate. Totul era paralizat, sistemul era complet oprit:
Am început prin a descărca un pachet de instalare pentru server Windows și am început să-l instalăm, lăsând deoparte toate backup-urile anterioare. Am folosit doar datele din salvări și acelea doar după o examinare și curățare amănunțită.
MIERCURI - 31.03.2021
În zori, prima noastră mică rețea Windows a fost activată, după care am început reclădirea. Fiecare sarcină a fost gestionată de un grup separat. În acest moment compania nu funcționa deja timp de 24 de ore. Nu știam când putem începe din nou, știam doar că avem foarte mult de lucru. Toți eram obosiți, dar nimeni nu s-a plâns, toți își făceau treaba.
Nu am avut alt echipament la dispoziție, prin urmare am coordonat munca pe o tablă flipchart. Fiindcă nu funcționa nici sistemul de corespondență, am transmis informațiile actuale între noi prin fotografierea panoului și trimiterea pozelor:
Am început recuperarea. Fiecare server, notebook, calculator de birou, dispozitiv PDA din companie a trebuit reinstalat, fiindcă virusul putea fi ascuns oriunde. Desigur, a fost un proces infinit de lent, cu peste 300 de servere diferite de instalat și aproape 3.000 de stații de lucru în 166 de locații diferite. Și încă nu am amintit celelalte gadget-uri, miile de PDA-uri și alte dispozitive inteligente. Dar nimeni nu era mâhnit, cu gândul la sarcină, toată lumea își făcea treaba. O dată la câteva ore am ținut un instructaj, unde am discutat statusul fiecărei echipe, ce idei noi există sau ce obstacole am întâmpinat.
De asemenea, am dorit să anunțăm partenerii noștri despre situație, dar din moment ce sistemul nostru de management integrat a companiei nu a funcționat – unde stocăm numere de telefon și informații de contact – nici acest pas nu a fost ușor. Nu știam nici măcar numărul de telefon al filialelor noastre, pentru că și acelea erau stocate în sistem. Mai mult, am adăugat manual utilizatorii la noul sistem, fiindcă nu am riscat să folosim salvări. Ne-am străduit să recuperăm baza de date din salvări. Din păcate, s-a deteriorat și catalogul sistemului de salvare pe bandă. Am avut benzi de salvare, dar nu știam pe care bandă ce date avem. A fost o perioadă groaznică, veștile rele au venit una după alta. Evaluarea daunelor a continuat pe parcursul zilei, timp în care am identificat tot mai multe pierderi. Întreaga sursă al sistemului de management integrat a companiei a fost pierdută, iar salvările centrale al sursei programului a fost complet distrus. Începusem să ne pierdem speranța, nu vedeam deloc lumina de la capătul tunelului.
Mai târziu, în cursul după-amiezii, încet, am reușit cumva să „găsim firul”. Au venit vești mai bune, catalogul de salvări de siguranță pe bandă a fost recuperat și am mai găsit alte salvări. De pe calculatorul unui dezvoltator software a fost făcută o copie de rezervă chiar înainte de atac, astfel am găsit și codul sursă al programului de management integrat a companiei pe un stick de memorie uitat pe masă.
Au apărut pe rând elementele fără de care nu am fi putut reporni compania. Pentru noi a fost ca un miracol divin. Probabil că a și fost pentru că multe coincidențe ne-au ajutat munca. Eram încă departe de obiectiv, dar deja era speranță, a apărut lumina de la capătul tunelului.
JOI - 01.04.2021
În această zi am pregătit primele schițe a noilor baze de funcționare. După multe discuții, am decis împreună că nu vom restabili starea de dinaintea atacului. Dacă deja sistemul a fost distrus până la pământ, ne vom folosi de oprirea forțată și vom așeza pe baze noi sistemul nostru informatic. Am dorit să întoarcem dezavantajul momentan într-un avantaj. Și, desigur, așa era sigur și logic. Ne-a fost teamă că, dacă pur și simplu restabilim starea inițială, nu ne vom simți în siguranță niciun minut. La început mi-am mâzgălit idea doar pe o coală de hârtie simpla A4:
Apoi am dezvoltat împreună idea și am schițat versiunea dezvoltată pe un flipchart:
Această coală a devenit biblia, temelia restaurării. Desigur, până acum a devenit mult mai complicată și mult mai complexă.
Numărul versiunii programului azi este 12.5, ceea ce indică că am utilizat 125 de versiuni diferite. Desigur, pentru început a fost de ajuns și cel de bază în care erau deja multe schimbări, pentru ca mediul să nu poată fi identificat de hackeri și bineînțeles l-am putut proteja mai bine. Una dintre numeroasele modificări a fost să ne punem la punct propriul sistem de operare pentru calculatoarele din filiale.
O echipă separată a lucrat la „propriul sistem de operare”:
La ora 03:25, după multe încercări eșuate, am reușit să creăm și să lansăm primul pachet de instalare al propriului sistem de operare. Sistemul funcționează atât de bine încât îl folosim și în prezent. În această zi am putut începe instalarea pe mai mult de 200 de calculatoare din 164 de filiale. Pentru a efectua instalările, am achiziționat toate stick-urile de memorie de la marii comercianți, pe care am încărcat pachetele de ștergere și instalare.
Am livrat stick-urile la filialele noastre cu ajutorul Agenților livratori. De asemenea, am pregătit o descriere separată și un tutorial video pentru instalare, pe baza căreia filialele au efectuat instalările. Fiecare stick a fost utilizat o singură dată, după care le-am colectat cu atenție pentru a preveni infectarea accidentală ulterioară. După ce s-au întors, au fost adunate și puteau fi refolosite doar după formatare. Pentru restaurarea sistemului, crearea unui nou mediu și consolidarea sistemului central am achiziționat o mulțime de dispozitive noi. O echipă separată livra în mod constant echipamente noi. Ne bucuram enorm de toate:
Alimentele au fost furnizate de UNIX Café, s-au consumat multe sandvișuri, băuturi răcoritoare și băuturi energizante. (Noroc că avem propria noastră băutură energizantă.)
VINERI – 02.04.2021 – VINEREA MARE
Era a treia zi. Am reușit să pornim baza de date centrală și atunci am văzut prima dată timpul de nefuncționare provocat de atac, la nivel de date.
Rezultatul este: 17 minute. Acestea sunt minutele care le-am pierdut din viața noastră. Doar atât din datele noastre s-a pierdut definitiv, restul am reușit să le recuperăm. Obosiți, dar deja entuziasmați și veseli, am continuat să reinstalăm programele pe serverele de deservire și să restabilim bazele rețelei noastre. În momentul respectiv eu pregăteam omleta pentru micul dejun în bucătăria restaurantului UNIX Café: Seara la ora 21:44:32 am reușit să pornim prima versiune Trade Line sistemul de management al companiei noastre. A fost o realizare uriașă, care poate fi considerată ca momentul renașterii companiei noastre. Din momentul respectiv inima companiei noastre a început să bată din nou.
Datorită faptului că am restructurat complet sistemul, am dezvoltat mai multe sisteme independente, segmentate, totul trebuia cablat din nou. Nu doar camera serverelor, ci și birourile centrale precum și centrul logistic. Lucrarea a continuat zi și noapte fără întrerupere, au fost momente în care dezvoltările au fost efectuate efectiv stând în genunchi:
Și evident am avut și clipe în care a predominat starea confuză.
MARȚI – 06.04.2021
Au mai trecut trei zile. După ce am petrecut tot sfârșitul de săptămână, inclusiv Sărbătorile Pascale la muncă, am ajuns la punctul culminant al zilei de marți, am văzut lumina de la capătul tunelului. Pe lângă multe alte sarcini pe care le aveam în față, am reușit să deschidem câteva filiale. Deși nu am reușit să deschidem în totalitate, dar am reușit să preluăm comenzi și să începem să vindem. Acest lucru a fost învierea noastră de Paște, care a fost același miracol divin ca și cel de acum două mii de ani. Am dezvoltat o nouă structură, un sistem de securitate și un nou sistem de supraveghere securitate, respectiv am schimbat modul de funcționare al sistemului nostru. Miercuri, compania a funcționat la capacitate maximă, toate filialele noastre au fost deschise și procentajul cifrei noastre de afaceri față cu ceea ce eram obișnuiți a fost undeva la circa 80-90%. Desigur am fost încă departe de a fi terminat munca, și până în prezent lucrăm constant la îmbunătățirea sistemului de securitate IT.
Ce am învățat din această întâmplare? Nimeni nu are voie sa creadă că este pregătit și protejat de atacurile hackerilor. Trebuie să ne gândim încontinuu unde putem să ne îmbunătățim siguranța operațională. Dacă avem răspunsul, nu este timp de pierdut, este necesară intervenția activă imediată fiindcă în acest război cibernetic nu există armistițiu.
Unul dintre colegii mei, dezvoltator software, a scris despre acest caz:
"Nu m-am gândit niciodată că voi fi vreodată parte a unui atac cibernetic atât de grav, dar inevitabil am fost prins în mijlocul acestuia.
Pot afirma că am trăit și m-am îmbogățit cu o experiență neprețuită care nu este dată multora.
Incidentul a afectat incontestabil toți angajații companiei deoarece nesiguranța, necunoscutul, au evocat în mod involuntar, sentimente negative în noi toți. Totuși a fost bine să experimentăm și să vedem în același timp, că în această stare tensionată am încercat cu toții să fim solidari și să ne ridicăm împreună de la pământ. Chiar și în momentele în care creierul nostru se gândea la următorul pas, la următoarea sarcină când nimeni nu știa încă ce ne așteaptă în următoarele zile, săptămâni, luni.
Cred că pot spune cu siguranță că este adevărată zicala: "Prietenul adevărat la nevoie se cunoaște." în cazul nostru colegul de muncă. Am pierdut câțiva colegi, totuși majoritatea au dat dovadă de o perseverență de neegalat." În cele din urmă pentru Managerii de companii și Managerii IT aș rezuma propria mea experiență legată de acest subiect:
Cum să evităm un atac cu un virus de tip șantaj?
• Este necesară utilizarea unei politici stricte ale parolelor de acces, utilizați parole cât mai complexe posibil! • Utilizați cât mai puține parole de administrator, iar angajații cu drepturi de administrator să aibă două nume de utilizator, unul pentru efectuarea sarcinilor zilnice, iar celălalt pentru efectuarea sarcinilor de administrator sistem! De asemenea să solicităm ca acestea să fie utilizate conform celor prezentate!
• Utilizați un sistem de autentificare din mai mulți pași!
Obligatoriu pentru administratorii de sistem, dar nu strică și în cazul angajaților. • Segmentați rețeaua în rețele mai mici de sine stătătoare care nu generează pierderi atât de mari!
• Utilizați mai multe firewall-uri, pe mai multe nivele! • Să aveți un sistem de monitorizare extern, independent!
Merită să semnați un contract cu o companie SOC (Security
Operation Center), deschisă 24 de ore. • În plus se recomandă monitorizarea continuă a traficului de rețea, cu un dispozitiv țintă. Există soluții bazate pe inteligență artificială care observă virusul "când sună acasă la gazdă". • Angajații trebuie instruiți în continuu despre bazele securității IT. • Rețeaua trebuie să fie bine documentată pentru a evita căutările în caz de probleme!
• Toate informațiile necesare pentru prevenție și recuperare trebuie să fie printate! (eventual într-o carte)
• Să existe un plan de recuperare, reconstrucție! • Aveți nevoie de echipamente de backup, nu strică să aveți un sistem complet de rezervă. Este în regulă și dacă aveți doar un sistem cu funcționalități reduse care deservește sarcinile de afaceri de bază, dar să nu se oprească funcționarea sistemului deoarece acest lucru este pierderea reală.
• Să aveți totul salvat, nu este o problemă dacă aveți mai multe backup-uri!
• Backup-urile de sistem să fie efectuate cât de des posibil, bineînțeles în limite rezonabile. Noi am avut un sistem de backup care salva automat baza de date la fiecare 30 de minute, astfel am pierdut doar a 17 minute. Dacă ar fi fost doar o “salvare zilnică”, am fi fost într-o situație fără speranță. • Și între timp rețineți: adevărata protecție prin care niciun virus informatic nu poate trece se numește spațiu de aer.
Un backup separat de rețea este backup-ul real. Backup-ul disponibil direct din rețea este doar un sentiment fals de securitate, acesta este furat de virus în același modalitate ca și baza de date reală. • Confortul administratorului de rețea este foarte important, dar securitatea este și mai importantă. • Posibilitatea de distribuire, de tip "C$", trebuie eliminată din sistem obligatoriu. Dar, în general merită să evitați orice distribuire, partajare. Orice lucru poate fi rulat doar printrun protocol, de exemplu: prin intermediul unui server http, care cu siguranță poate fi configurat cu un sistem eficient de autorizare cum ar fi autentificarea multifactorială.
• Un jurnal de modificări din care un sistem de feedback/ alertă poate salva vieți. Dacă noi am fi avut un astfel de sistem, am fi observat când virusul își acordă drepturi de administrator de rețea sau când a deschis ușa din spate de pe firewall.
• Să aveți un sistem de înregistrare evenimente robust și bine parametrizat, deoarece dacă apare o problemă, este foarte important să găsim vectorul de atac cât mai repede posibil. Deși noi aveam unul, parametrii acestuia nu erau optimizați, a înregistrat prea multe date. Astfel a avut o bază mare de date inutilă, am așteptat foarte
mult până când am reușit să extragem date utile din acesta. lucru nu a fost o opțiune pentru noi. Noi nu am fi putut exista fără datele respective.
Și dacă totuși apare problema?
• Opriți totul cât mai repede posibil, în astfel de cazuri nu este o problemă dacă oprirea nu se efectuează corect. Și noi am smuls cablurile din calculatoare. Aceasta este cea mai mică problemă...
• Prima dată chemați un profesionist, nu experimentați!
Profesioniștii din domeniu sunt scumpi, ca și avocații buni. Sunt chiar și mai scumpi, dar fără ei nu va merge remedierea problemelor. La final câteva gânduri despre "balanță". Merită evitarea, reconstrucția sau mai degrabă trebuie plătită taxa solicitată?
"Balanța noastră financiară" arăta astfel:
4 zile lucrătoare am fost închiși când am avut încasări zero. Faptic, am pierdut cifra de afaceri directă a acestor zile. Cifra de afaceri medie zilnică de anul trecut a fost de circa 320 milioane de forinți (aprox. 900.000 Euro) în cele trei țări, astfel încât pierderea cifrei de afaceri a fost de circa 3.460.000 Euro.
• Trebuie stabilit de unde și cum au venit atacatorii. Acest lucru este numit de profesioniști vectorul de atac. • Odată ce s-a găsit vectorul, specialistul vă va spune ce trebuie schimbat, pentru a umple gaura anterioară. (Pentru acest lucru avem nevoie de un specialist deoarece dacă reconstruim totul pe aceeași schemă, în câteva minute vom fi în același loc de unde am plecat.) • Deși în astfel de cazuri simțim că lumea se prăbușește în jurul nostru, trebuie totuși să încercăm să rămânem calmi și răbdători. Avem nevoie de un plan, dacă nu avem un plan întocmit anterior, discutați cu specialiștii și planificați calm procesul, cel puțin pașii principali, exact cum și în ce ordine vor fi efectuați și ce procese vor fi restabilite. • Nu avem voie să fim nervoși și grăbiți! Pierderea va fi cu siguranță uriașă. Nu este cazul să ne ocupăm de pierderi.
Nu trebuie să vă grăbiți, pentru că dacă vă grăbiți puteți ajunge cu ușurință de unde ați plecat. Planul trebuie implementat frumos pas cu pas.
Dacă nu există backup, nu avem despre ce discuta. Trebuie să plătiți și să sperați că cheia decriptării va fi trimisă. Cu excepția cazului în care poate fi acceptată funcționarea ulterioară a companiei cu pierderea datelor respective. Acest Pe scurt: pierderea directă, reconstrucția sistemului, pierderea adaosului comercial în urma pierderii cifrei de afaceri este mult mai mare decât 2.700.000 Euro. (dar poate că atinge suma de 5.400.000 Euro)
Dacă plăteam 2,7 milioane de dolari, atunci costurile ar fi rămas cu mult sub 2,7 milioane de Euro, mult mai puțin timp de nefuncționare și mai puține pierderi privind cifra de afaceri. A meritat? Nu era mai bine să plătim? Nu, cred că oricum am luat o decizie bună.
Astăzi avem o infrastructură IT mult mai avansată, modernă, sigură și fiabilă. Pot fi două cazuri când trebuie plătită taxa solicitată: dacă nu există backup, sau dacă informații delicate ajung în mâinile șantajatorilor, ca și în cazul Apple.
Ca și orice poveste și aceasta are o continuare. Iată finalul:
La câteva luni după incidentul nostru, în vara anului 2021, activitățile REvil deja deranjau atât de mult guvernul SUA încât aceste atacuri cu virus de tip șantaj au fost discutate și la summit-ul Biden-Putin. Mai mult, potrivit știrilor aceștia
au reușit să se certe atât de tare pe tema asta încât summitul a fost întrerupt.
După acestea Departamentul de Justiție al SUA a oferit o recompensă de 10 milioane de dolari pentru informații care conduc la membrii grupului de infractori. În cele din urmă REvil a fost învins de Serviciul Secret SUA cu propria s-a armă, care a infectat cu succes serverele REvil cu un virus cu ajutorul căruia au avut posibilitatea de a urmări unde se află aceștia. Atunci grupul s-a desființat și au început să fugă. O parte din gangsteri au fost arestați în Polonia și România, iar restul echipei a fost capturat de FSB în Rusia.
BBC a editat următorul articol cu referire la acest subiect:
https://www.bbc.com/news/technology-59998925
Erau hackeri ai căror suport pentru lenjeria de pat a fost plină de bani. Membrii grupului care au fost capturați în Rusia nu au fost extrădați în Statele Unite. Astfel pe bună dreptate se poate pune întrebarea dacă acum sunt la închisoare sau lucrează pentru FSB sau guvernul rus...? Oricare ar fi adevărul noi trebuie neapărat să ne menținem vigilența!
