Ako to vyzerá, keď firmu napadnú hackeri ransomwarom? Teda malwarom spojeným so zašifrovaním dát, vydieraním a požiadavkou výkupného? Aké to je sa zrazu prepadnúť do offline reality? A ako dlho môže firme trvať návrat do normálu, keď vydieračom odmietne zaplatiť?
Je pondelok 27. júna 2022, 9 hodín ráno. IT manažér českej pobočky nemeckej firmy Bizerba si balí veci, chystá sa na pár dní vyraziť po Čechách rybárčiť. Ale, zazvoní telefón. Vo firme zamestnanci už hodinu hlásia, že nemôžu robiť bežné úkony, napríklad fakturácie.
Môže to byť čímkoľvek: spadol server, nepodaril sa víkendový update alebo synchronizácia so slovenskou dcérskou spoločnosťou. Také tie veci, čo sú za pol hodiny zase nahodené. Toto vyzerá málinko komplikovanejšie, nejde to vyriešiť na diaľku.
IT manažér odkladá odchod na ryby na popoludnie a ide namiesto toho do sídla firmy v Čestliciach. Prút zo skrine nevytiahne najbližšieho pol roka.
Firmu ochromil ransomware LockBit
V roku 2022 napadol nemeckú firmu Bizerba, zameriavajúcu sa na výrobu, predaj a servis nárezových strojov a váhových systémov, ransomware LockBit. Prvé stopy tohto malwaru sa objavili v januári 2020 na ruskojazyčnom kyberzločineckom fóre. Motivácia jeho tvorcov však nie je politická, ale skôr finančná. Ich služby si môže za podiel na zisku objednať na dark webe ktokoľvek.
Malware sa dostane do systému obete cez rôzne neopravené, či doposiaľ neznáme zraniteľnosti, prípadne – a to sa stalo zrejme aj v prípade Bizerby – cez phishing, teda najcitlivejší bod každého systému: človeka a jeho potrebu klikať v e-mailoch na odkazy a otvárať prílohy.
LockBit zhromažďuje sieťové informácie, kradne a šifruje dáta. Obeť následne objednávateľ útoku vydiera tým, že pokiaľ nezaplatí, dáta zostanú zašifrované alebo budú zverejnené. Preto útoky často mieria na zdravotnícke či vzdelávacie firmy a inštitúcie, kde je publikovanie údajov obzvlášť citlivá záležitosť.
Bizerba sa rozhodla nezaplatiť a obrátila sa na políciu. Pre celú firmu vrátane Martina Dvořáka, konateľa českej pobočky, začalo dlhé a doposiaľ nepoznané dobrodružstvo.
Vzostup a možný pád LockBitu
LockBit bol mimoriadne úspešný. Podľa údajov zo začiatku roka 2023 stál v tom čase za 44% všetkých ransomwarových útokov. Len v Spojených štátoch doteraz napadol vyše 2000 cieľov a americké firmy zaplatili na výkupnom spolu vyše 120 miliónov dolárov. A to napriek tomu, že časom vyšlo najavo, že vydieranie nezriedka pokračuje aj po vyplatení požadovanej sumy.
Vo februári tohto roku vykonali policajné sily z niekoľkých krajín v rámci operácie Kronos záťah na stránky útočníkov na dark webe a dostali ich pod kontrolu. Niekoľko ľudí bolo zatknutých a zhruba 200 ich kryptomenových účtov bolo skonfiškovaných. Avšak útoky LockBitu boli zaznamenané aj po tomto dátume, navyše s novou, zákernejšou verziou ransomwaru.
V Česku majú s ransomwarovými útokmi skúsenosti napríklad Riaditeľstvo ciest a diaľnic, Univerzita obrany alebo nemocnice.
Útok minútu po minúte
Teraz sa nachádzame v prvom dni. O 10. hodine prichádza stručná správa z nemeckej centrály, že Bizerba bola v noci napadnutá.
Prvé ho diny po napadnutí Bizerby
27.6.2022
8.30
Telefonáty zamestnancov, že systémy majú výpadok.
9.00
IT manažér ruší dovolenku a namiesto rýb ide do firmy.
10.00
Informácie z nemeckej centrály: Bizerba bola napadnutá.
10.13
Absolútny shutdown lokálnej infraštruktúry.
10.15
Zákaz používania e-mailov na všetkých zariadeniach, vypnutie všetkých workstations.
„Prvé, čo som urobil bolo, že som sa spýtal IT manažéra, ktorý medzitým dorazil do firmy, čo máme robiť,“ spomína Martin Dvořák. „A on pokrčil ramenami a povedal, že nevie… Zrazu vo dvojici stojíte pred zvyškom firmy, všetci na vás pozerajú a vy netušíte, čo taký útok vlastne znamená. Či je to záležitosť na dve hodiny, na deň. Bude nám to nejako brániť v prevádzke? Máme pozatvárať kancelárie? Sklad? Ísť všetci domov? A tiež vám hlavou prebleskne myšlienka, či to celé nie je nejaké cvičenie…“
O 10:13 prichádza pokyn na vypnutie lokálnej infraštruktúry. O 2 minúty neskôr zákaz používania e-mailov na všetkých zariadeniach a príkaz na vypnutie všetkých workstations, stolných počítačov, notebookov.
„Ak je to cvičenie, tak pekne blbé,“ pomyslí si Dvořák.
Podarí sa vypnúť servery, úložiská. Ďalší na rade sú používatelia, predovšetkým zamestnanci. A tu prichádza problém. Ako ich hromadne kontaktovať, keď e-mail nefunguje? Mobily našťastie zostali zapnuté. Kde má firma zoznam zamestnancov s ich telefónnymi číslami? No, na odstavenom serveri. Existuje ten zoznam niekde na papieri? Skúsime to kaskádovito cez tímlídrov.
V českej Bizerbe pracuje zhruba sedemdesiat ľudí, z toho asi štyridsať sú technici, ktorí sú neustále v teréne. Často u zákazníkov, v ich závodoch, kde nie je signál, a nedá sa im dovolať. „Zhruba do pol hodiny sme dokázali vypnúť asi 90 % zamestnancov, zvyšných 10 % sme bombardovali esemeskami.“
Nie je doba na taktizovanie
Čo robiť ďalej? Centrála komunikuje minimálne a z toho ich mála cítiť paniku. Je nutné improvizovať.
„Rozhodli sme sa skontaktovať zákazníkov a povedať im, čo sa stalo. To bolo minimum, čo sme pre nich mohli urobiť. Nebol čas na nejaké taktizovanie,“ hovorí Dvořák.
„Našťastie sme žiadneho zákazníka neinfikovali, ale v danej chvíli to netušíte. U väčších firiem sme kontaktovali ich IT oddelenia, povedali sme čo vieme, lepšie povedané, že toho veľmi veľa nevieme, že nemáme tušenie, či nie sú napadnuté aj zariadenia, ktoré majú od nás. U tých menších to bol oriešok, sú medzi nimi napríklad mäsiari, kde IT oddelenie tvorí synovec, čo si raz týždenne na hodinku sadne k strýkovému počítaču.“
A aká bola reakcia? „V 99 % chápavá. Dokonca najväčšie firmy ako Tesco alebo Makro nám okamžite ponúkli pomoc, pretože už majú s podobnými situáciami skúsenosť. Vlastne iba jeden zákazník si vyžiadal moje čestné vyhlásenie, že nemám dôkaz, že by ich zariadenie bolo napadnuté. Vzhľadom na to, že som v tej chvíli nemal dôkazy vôbec o ničom, som mu to podpísal.“
Materská Bizerba vydala počas pár dní na základe dôkladného testovania oficiálne vyhlásenie, že neexistuje evidencia, že by sa LockBit dostal do zákazníckych systémov.
Ceruzka, papier a tlačiareň od detí
Prvé dni po útoku sa v českej pobočke nesú v znamení skúšania, čo ide a nejde. „Nevedeli sme, čo bude zajtra, ale mali sme zakaždým plán aspoň na dnešok“, hovorí Martin Dvořák.
Najprv sa hľadá, ako zorganizovať sami seba a ako komunikovať. „V tomto nám pomohol covid. Mali sme už skúsenosť s whatsappovými skupinami, maily na Gmail alebo Zozname, online úložiskom a podobne.“
Tretí deň sa podarí sprevádzkovať pracovný e-mail, aj keď iba v náhľadovom režime, nedá sa z neho písať ani otvárať prílohy.
Štvrtý deň priniesla jedna zo zamestnankýň sama od seba z domu atramentovú tlačiareň, ktorá funguje cez AirDrop. Vzala ju deťom. Vôbec veľa detí zamestnancov v tom čase prišlo o svoje notebooky.
A predovšetkým svoju renesanciu zažili v Bizerbe ceruzka a papier. Predaj a nové zákazky sa úplne stopli, ale servis musel fungovať ďalej.
„Niekto našiel na dne zásuvky dva staré papierové servisné výkazy, ktoré sme vo veľkom množstve nakopírovali. Podobne pohyb tovaru a technikov sme sledovali offline. Vytiahli sme flipcharty a rozkresľovali všetko fixkou na papier. Bol to návrat o 20 rokov späť. Spätne je to úsmevné, ale v tej chvíli sa nikto veľmi nesmial. Len pár zamestnancov, ktorí sú tu naozaj dlho, pookrialo, keď mohli mladým vysvetľovať, ako sa to robilo skôr.“
Každý deň sa objavovali nové výzvy. Ako treba bez vnútrofiremného systému podať kontrolné hlásenia a zaplatiť DPH?
„Finančný úrad na takéto situácie vôbec nemá postupy. Nakoniec sme výšku DPH odhadli a radšej aj trochu nadhodnotili a ja som potom musel v banke pri klasickej prepážke podpísať príkaz na úhradu. Niečo, čo som predtým neurobil roky. A rovno sme podali žiadosť o odloženie pokuty. Musím však povedať, že úradníčky na finančnom úrade, aj keď museli vystúpiť úplne mimo ich komfortnú zónu, sa nám úprimne snažili pomôcť.“
Podobné dobrodružstvá nastali pri výpočte a výplate miezd a zamestnaneckých dovoleniek.
Svetlo na konci tunela
„Celé to však bol skvelý teambuilding. Aj keď veľmi drahý a nerád by som si ho ešte niekedy zopakoval. Bolo vidieť, ako to ľudí vo firme stmelilo, že nečakali pasívne, čo sa bude diať, ale aktívne prichádzali s riešeniami. To je môj hlavný poznatok z celej situácie: starajte sa o svojich zamestnancov, oni vám to v kríze vrátia. Aj vďaka tomu sme neprišli o jediného zákazníka, jedinú zákazku, hoci sa toho muselo veľa stopnúť.“
Svetlo na konci tunela sa v Bizerbe objavilo po 5 týždňoch. Na slovenskej pobočke rozbehli 2 počítače v takzvanej červenej zóne, pripojenej do vnútrofiremného systému. Zamestnanci sa pri nich striedali, existoval presný rozvrh, kto k nim kedy môže. Bola o ne bitka.
„Po 8 týždňoch sme v červenej zóne mali 5 počítačov a to už bola pohoda,“ smeje sa Dvořák.
Na viac-menej normálny režim v Bizerbe nabehli po pol roku.
Len českú pobočku stál útok milióny korún.
Mať plán B
Čo sa útokom v Bizerbe zmenilo?
Ako celok nabehla na prísnejšie bezpečnostné opatrenia. Úplne prestavala svoje IT prostredie: procesy, štruktúry, systémy. A to pod tlakom okolností vo veľmi rýchlom tempe: čo by inokedy trvalo roky, podarilo sa v priebehu niekoľkých mesiacov. Dnes sú na podobnú udalosť pripravení oveľa lepšie.
„A čisto ľudsky ste jednoducho paranoidnejší,“ dodáva Martin Dvořák. „Bolo to aj pre bežných zamestnancov to najlepšie školenie. Už je im jasné, prečo je dobré dávať si komplikované heslá a každé 3 mesiace ich meniť, prečo si neotvárať každú e-mailovú prílohu a neklikať na každý odkaz.“
A aké poučenie si Dvořák ako konateľ českej pobočky Bizerby z celého útoku zobral? Už sme spomenuli starostlivosť o zamestnancov v čase „mieru“. Aj štátne inštitúcie (nielen finančný úrad) by s kyberútokmi mali viac počítať, aby to nemuselo závisieť len na ochote konkrétnych úradníkov.
„A určite je dobré mať plán B. Predovšetkým v troch bodoch: musíte vedieť, ako v takom prípade komunikovať, ako zaistiť tok finančných prostriedkov a ako obhospodáriť zákazníkov. Aj keď by som každému prial, aby podobný plán B nemusel nikdy použiť.“
Čo si z článku odniesť?
Kybernetický útok nie je nereálna vzdialená hrozba, môže sa to prihodiť komukoľvek.
Okrem klasických kyberbezpečnostných opatrení v podobe aktualizácií softvéru, zálohovania dát a prevencie sociálneho inžinierstva je dobré mať pripravený plán B pre offline fungovanie a ideálne aj plán obnovy.
Aj offline by ste mali vedieť, ako budete komunikovať, ako zaistite tok finančných prostriedkov a ako sa postaráte o zákazníkov.
Starajte sa o svojich zamestnancov, v kríze vám to vrátia.
