Gdyby weszli państwo na stronę www firmy Pekaes 17 lutego, byłby tam taki oto komunikat: „Informujemy, że 12 lutego br. wystąpiła awaria systemu informatycznego PEKAES, która uniemożliwia transmisję i aktualizację danych systemowych. Ze wstępnych ustaleń wynika, że infrastruktura informatyczna została zainfekowana szkodliwym oprogramowaniem”.
W dalszym ciągu komunikatu informowano: „W reakcji na to zdarzenie podjęto szereg niezbędnych czynności, takich jak: niezwłoczne odłączenie całej komunikacji zewnętrznej z systemami informatycznymi PEKAES, wymagane prawnie powiadomienie właściwych organów ścigania oraz Urzędu Ochrony Danych Osobowych, a także powołanie dedykowanego zespołu specjalistów, włączając również zewnętrznych ekspertów z firmy specjalizującej się w usuwaniu tego rodzaju awarii, którzy pracowali nad rozwiązaniem problemu. Dzięki podjętym działaniom, zaangażowaniu Pracowników PEKAES oraz ekspertów zewnętrznych przywracanie funkcjonowania systemów operacyjnych jest na ostatnim etapie uruchomienia”.
Jednak pierwsze komunikaty o awarii pojawiały się już tydzień wcześniej. Wszystko wskazuje na to, że firma została zhakowana. Grupa hakerska DarkSide opublikowała 65 gigabajtów danych, pochodzących z serwerów Pekaes. Może to oznaczać, że firma nie zapłaciła okupu i dane zostały upublicznione.
Hakerzy idą jednak dalej. Dane mogą być dostępne wiele miesięcy po ich publikacji, także w przypadku możliwości ich odzyskania z kopii zapasowych. Taktyka ta ma na celu zastraszenie ofiary, by ta zapłaciła okup, a wtedy hakerzy usuną je ze swoich serwerów. Na swojej stronie grupa informowała, że ujawnia:
- dane finansowe,
- dane dot. Covid-19,
- dane klientów,
- dane dot. umów,
- dane SQL,
- dane pracowników.
Poza linkami do danych grupa udostępniła także zrzuty ekranu z widocznym drzewem plików, by uwiarygodnić ich posiadanie.
DarkSide (of ransomware)
Grupa stała się widoczna już w sierpniu 2020 r. Wtedy zaobserwowano pierwsze warianty jej szkodliwego oprogramowania. Hakerzy deklarowali, że są grupą profesjonalistów działających wyłącznie z żądzy zysku. Atakują więc tylko tych, którzy są w stanie zapłacić. Omijają jednak służbę zdrowia, edukację, organizacje non profit i sektor rządowy.
Dane przechowywane są na serwerach w Iranie, grupa działa w modelu RaaS (ang. Ransomware-as-a-Service) na przejrzystych zasadach i dzieli się zyskiem 10–15% dla deweloperów, 75–90% dla współpracujących (ang. affiliates).
Przeciwko ransomware użytemu do zaszyfrowania danych, należących do Pekaes, firma Bitdefender (producent oprogramowania antywirusowego) w styczniu br. opublikowała tzw. dekryptor. Według oświadczenia DarkSide dekryptor ten wykorzystuje pewne podatności i stary klucz, który nie był unikatowy u ok. 40% ofiar. Opracowany ransomware został więc udoskonalony i dekryptor jest już nieskuteczny. Nie wiadomo jednak, którym ransomware zaszyfrowano dane Pekaes.
TSL w ofensywie
Nie po raz pierwszy duża firma logistyczna padła ofiarą hakerów. To jednak pierwsza tak duża i głośna sprawa w Polsce. Branża transportowa coraz częściej pada atakiem hakerów, którzy biorą na cel firmowe systemy informatyczne. Tylko we wrześniu 2020 r. zaatakowano skutecznie trzech dużych operatorów logistycznych (Gefco, IMO oraz CMA-CGM, do której należy firma Ceva Logistics).
W momencie ataku konieczne może być wyłączenie systemów informatycznych, co może sparaliżować działanie zaatakowanej firmy (nie można śledzić ładunków czy też planować przewozów). Gdy zagrożenie minie, przywracanie funkcjonowania systemów jest procesem trudnym i czasochłonnym.
Pod koniec marca Pekaes poinformował, że przywrócił funkcjonalność systemów kluczowych dla spółki (w szczególności systemów obsługi zleceń, śledzenia przesyłek oraz wspierających obsługę klientów).
Regulamin hakowania
(na melodię Teksański zespołu Hey)
A może zmienić zasady gry?
Chcesz mieć sprawny system, to sam o niego zadbaj.
Kup polisę cyber.
IT dział, podziękuje ci.
Wnet twe troski w wypłatę zmienią się.
Nie zostaniesz sam.
(na melodię The Passenger w wykonaniu Iggy Popa; wszystkie spółki śpiewają)
Zatrudniam pentestera.
Chociaż działał od zera.
Ochronił dane spółki.
Eliminując luki.
Finansowe konsekwencje tego i podobnych ataków można ubezpieczyć śpiewająco. Ubezpieczyciel pokryje m.in.:
- zysk utracony na skutek ataku,
- koszty informatyki śledczej,
- koszty wznowienia działalności,
- koszty okupu,
- wydatki na public relations,
- kary i grzywny.
Ale o tym w kolejnym artykule.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland
