Poněkud drahý teambuilding. Jak firma přežila útok ransomwarem LockBit

Petra Javornická

Petra Javornická
16. 05. 2024

Poněkud drahý teambuilding. Jak firma přežila útok ransomwarem LockBit

Jak to vypadá, když firmu napadnou hackeři ransomwarem? Tedy malwarem spojeným se zašifrováním dat, vydíráním a požadavkem výkupného? Jaké to je se najednou propadnout do offline reality? A jak dlouho může firmě trvat návrat do normálu, když vyděračům odmítne zaplatit?

Je pondělí 27. června 2022, 9 hodin ráno. IT manažer české pobočky německé firmy Bizerba si balí věci, chystá se na pár dní vyrazit po Čechách rybařit. Jenže zvoní telefon. Ve firmě zaměstnanci už hodinu hlásí, že nemohou dělat běžné úkony, třeba fakturace.

Může to být čímkoli: spadl server, nepovedl se víkendový update nebo synchronizace se slovenskou dceřinou společností. Takové ty věci, co jsou za půl hodiny zase nahozené. Tohle ale vypadá malinko komplikovaněji, nejde to vyřešit vzdáleně.

IT manažer odkládá odjezd na ryby na odpoledne a jede místo toho do sídla firmy v Čestlicích. Prut ze skříně nevytáhne příštího půl roku.

Firmu ochromil ransomware LockBit

V roce 2022 napadl německou firmu Bizerba, zaměřující se na výrobu, prodej a servis nářezových strojů a váhových systémů, ransomware LockBit. První stopy tohoto malwaru se objevily v lednu 2020 na ruskojazyčném kyberzločineckém fóru, nicméně motivace jeho tvůrců nejsou nutně politické, ale spíše finanční. Jejich služby si může za podíl na zisku objednat na dark webu kdokoli.

Malware se dostane do systému oběti přes různé neopravené či dosud neznámé zranitelnosti, případně – a to se stalo zřejmě i v případě Bizerby – přes phishing, tedy nejcitlivější bod každého systému: člověka a jeho potřebu klikat v e-mailech na odkazy a otevírat přílohy.

LockBit shromažďuje síťové informace a krade a šifruje data. Oběť následně objednavatel útoku vydírá s tím, že pokud nezaplatí, data zůstanou zašifrovaná, nebo se i zveřejní. Proto útoky často míří na zdravotnické či vzdělávací firmy a instituce, kde je publikování údajů zvlášť citlivá záležitost.

Bizerba se rozhodla nezaplatit a obrátila se na policii. Pro celou firmu včetně Martina Dvořáka, jednatele české pobočky, začalo dlouhé a dosud nepoznané dobrodružství.

Vzestup a možný pád LockBitu

LockBit byl mimořádně úspěšný. Podle údajů ze začátku roku 2023 stál v té době za 44 % všech ransomwarových útoků. Jenom ve Spojených státech dosud napadl přes 2000 cílů a americké firmy zaplatily na výkupném dohromady přes 120 milionů dolarů. A to přesto, že časem vyšlo najevo, že vydírání nezřídka pokračuje i po vyplacení požadované částky.

V únoru letošního roku provedly policejní síly z několika zemí v rámci operace Kronos zátah na stránky útočníků na dark webu a dostaly je pod kontrolu. Několik lidí bylo zatčeno, zhruba 200 jejich kryptoměnových účtů bylo zkonfiskováno. Nicméně útoky LockBitu byly zaznamenány i po tomto datu, navíc s novou, zákeřnější verzí ransomwaru.

V Česku mají s ransomwarovými útoky zkušenosti Ředitelství silnic a dálnic, Univerzita obrany nebo nemocnice.

Útok minutu po minutě

Teď jsme ale stále v prvním dni. V 10 hodin přichází stručná zpráva z německé centrály, že Bizerba byla v noci napadena.

„První, co jsem udělal, bylo to, že jsem se zeptal IT manažera, který mezitím dorazil do firmy, co máme dělat,“ vzpomíná Martin Dvořák. „A on pokrčil rameny a řekl, že neví… Najednou ve dvou stojíte před zbytkem firmy, všichni na vás koukají a vy netušíte, co takový útok vlastně znamená. Jestli je to záležitost na dvě hodiny, na den. Bude nám to nějak bránit v provozu? Máme pozavírat kanceláře, sklad a jít všichni domů? A taky vám hlavou probleskne myšlenka, jestli to třeba celé není nějaké cvičení…“

V 10:13 přichází pokyn k vypnutí lokální infrastruktury. O 2 minuty později zákaz používání e-mailů na všech zařízeních a příkaz k vypnutí všech workstations, stolních počítačů, notebooků.

„Jestli je to cvičení, tak pěkně blbé,“ pomyslí si Dvořák.

Podaří se vypnout servery, úložiště a další na řadě jsou uživatelé, především zaměstnanci. A tady přichází problém. Jak je hromadně kontaktovat, když e-mail nefunguje? Mobily naštěstí zůstaly zapnuté. Kde má firma seznam zaměstnanců s jejich telefonními čísly? No, na odstaveném serveru. Existuje ten seznam někde na papíře? Zkusíme to kaskádovitě přes teamleadery.

V české Bizerbě pracuje zhruba sedmdesát lidí, z toho asi čtyřicet jsou technici, kteří jsou neustále v terénu. Často u zákazníků, v jejich závodech, kde není signál, a nejde se jim dovolat. „Zhruba do půl hodiny jsme dokázali vypnout asi 90 % zaměstnanců, zbylých 10 % jsme bombardovali esemeskami.“

Není doba na taktizování

Co dělat dál? Centrála komunikuje minimálně a z toho mála je cítit panika. Je nutné improvizovat.

„Rozhodli jsme se zkontaktovat zákazníky a říct jim, co se stalo. To bylo minimum, co jsme pro ně mohli udělat. Nebyla doba na nějaké taktizování,“ říká Dvořák.

„Naštěstí jsme žádného zákazníka neinfikovali, ale v tu chvíli to netušíte. U větších firem jsme kontaktovali jejich IT oddělení, řekli jsme jim, co víme, lépe řečeno, že toho moc nevíme, že nemáme zdání, jestli nejsou napadena i jejich zařízení, která mají od nás. U těch menších to ale byl oříšek, jsou mezi nimi třeba řezníci, kde IT oddělení tvoří synovec, co si jednou týdně na hodinku sedne ke strejdově počítači.“

A jaká byla reakce? „V 99 % chápavá. Dokonce největší firmy jako Tesco nebo Makro nám okamžitě nabídly pomoc, protože už mají s podobnými situacemi zkušenost. Vlastně jenom jeden zákazník si vyžádal moje čestné prohlášení, že nemám důkaz, že by jejich zařízení bylo napadené. Vzhledem k tomu, že jsem v tu chvíli neměl důkazy vůbec o ničem, jsem mu to podepsal.“

Mateřská Bizerba vydala během pár dnů na základě důkladného testování oficiální prohlášení, že neexistuje evidence, že by se LockBit dostal do zákaznických systémů.

Tužka, papír a tiskárna od dětí

První dny po útoku se v české pobočce nesou ve znamení zkoušení, co jde a nejde. „Nevěděli jsme, co bude zítra, ale měli jsme pokaždé plán aspoň na dnešek,“ říká Martin Dvořák.

Předně se hledá, jak zorganizovat sami sebe a jak komunikovat. „V tomhle nám pomohl covid, měli jsme už zkušenost s whatsappovými skupinami, maily na Gmailu nebo Seznamu, online úložištěm a podobně.“

Třetí den se podaří zprovoznit pracovní e-mail, i když pouze v náhledovém režimu, nedá se z něj psát ani otevírat přílohy.

Čtvrtý den přinesla jedna ze zaměstnankyň sama od sebe z domova inkoustovou tiskárnu, která funguje přes AirDrop. Vzala ji dětem. Vůbec hodně dětí zaměstnanců v tu dobu přišlo o své notebooky.

A především svou renesanci zažily v Bizerbě tužka a papír. Prodej a nové zakázky se úplně stoply, ale servis musel dál fungovat.

„Někdo našel na dně šuplíku dva staré papírové servisní výkazy, které jsme ve velkém nakopírovali. Podobně pohyb zboží a techniků jsme sledovali offline. Vytáhli jsme flipcharty a rozkreslovali vše fixou na archy papíru. Byl to návrat o 20 let zpátky. Zpětně je to úsměvné, ale v tu chvíli se nikdo moc nesmál. Jenom pár zaměstnanců, kteří jsou tady opravdu dlouho, pookřálo, když mohli mladým vysvětlovat, jak se to dělávalo dřív.“

Bizerba po kybernetickém útoku

Každý den se objevovaly nové výzvy. Jak třeba bez vnitrofiremního systému podat kontrolní hlášení a zaplatit DPH?

„Finanční úřad na takové situace vůbec nemá postupy. Nakonec jsme výši DPH odhadli a radši i malinko nadsadili a já pak musel v bance u klasické přepážky podepsat příkaz k úhradě. Něco, co jsem předtím neudělal roky. A rovnou jsme podali žádost o odložení pokuty. Musím ale říct, že úřednice na finančáku, i když jsme jim vystoupili úplně mimo šachovnici, se nám upřímně snažily pomoct.“

Podobná dobrodružství se stala z výpočtu a výplaty mezd, ale třeba i ze zaměstnaneckých dovolených.

Světlo na konci tunelu

„Celé to nicméně byl skvělý teambuilding. I když hodně drahý a nerad bych si ho ještě někdy zopakoval. Bylo vidět, jak to lidi ve firmě stmelilo, že nečekali pasivně, co se bude dít, ale aktivně přicházeli s řešeními. To je můj hlavní poznatek z celé situace: starejte se o své zaměstnance, oni vám to v krizi vrátí. I díky tomu jsme nepřišli o jediného zákazníka, jedinou zakázku, byť se toho samozřejmě musela spousta stopnout.“

Světlo na konci tunelu se v Bizerbě objevilo po 5 týdnech. Na české pobočce rozjeli 2 počítače v takzvané červené zóně, připojené do vnitrofiremního systému. Zaměstnanci se u nich střídali, existoval přesný rozvrh, kdo k nim kdy může. Byla o ně rvačka.

Bizerba po kybernetickém útoku

„Po 8 týdnech jsme v červené zóně měli 5 počítačů a to už byla pohoda,“ směje se Dvořák.

Na víceméně normální režim v Bizerbě najeli po půl roce.

Jen českou pobočku stál útok miliony korun.

Mít plán B

Co se útokem v Bizerbě změnilo?

Jako celek najela na přísnější bezpečnostní opatření. Úplně přestavěla svoje IT prostředí: procesy, struktury, systémy. A to pod tlakem okolností v hodně rychlém tempu: co by jindy trvalo roky, povedlo se během několika měsíců. Dnes jsou na podobnou událost připraveni mnohem lépe.

„A čistě lidsky jste prostě paranoidnější,“ dodává Martin Dvořák. „Bylo to i pro běžné zaměstnance to nejlepší školení. Už je jim jasné, proč je dobré dávat si komplikovaná hesla a každé 3 měsíce je měnit, proč si neotevírat každou e-mailovou přílohu a neklikat na každý odkaz.“

A jaké obecnější poučení si Dvořák coby jednatel české pobočky Bizerby z celého útoku vzal? Už jsme zmínili starost o zaměstnance v době „míru“. Taky státní instituce – nejen finanční úřad – by s kyberútoky měly víc počítat, aby to nemuselo viset jen na ochotě konkrétních úředníků.

„A určitě je dobré mít plán B. Především ve třech bodech: musíte vědět, jak v takovém případě komunikovat, jak zajistit tok finančních prostředků a jak obhospodařit zákazníky… I když bych každému přál, aby podobný plán B nemusel nikdy použít.“

Co si z článku odnést?

  • Kybernetický útok není nějaká nereálná vzdálená hrozba, může se to přihodit komukoli.
  • Kromě klasických kyberbezpečnostních opatření v podobě aktualizací softwaru, zálohování dat a prevence sociálního inženýrství je dobré mít připravený plán B pro offline fungování a ideálně i plán obnovy.
  • I offline byste měli vědět, jak budete komunikovat, jak zajistíte tok finančních prostředků a jak obhospodaříte zákazníky.
  • Starejte se o své zaměstnance, v krizi vám to vrátí.



Petra Javornická Petra Javornická
Marketingový specialista pro B2B

Sdílet

Byl pro vás článek užitečný?

Nenašli jste, co jste hledali? Dejte nám vědět, co můžeme zlepšit. Děkujeme

Mohlo by vás zajímat

DALŠÍ ČLÁNKY
Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?

Sociální inženýrství v éře generativní AI: Jaké jsou trendy v roce 2024?
Jak ve firmě správně zálohovat a chránit data

Jak ve firmě správně zálohovat a chránit data

Jak ve firmě správně zálohovat a chránit data
Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?

Ochrana finančních transakcí je klíčová pro každé podnikání. Jaké jsou nejnovější bezpečnostní metody?
Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu

Data v cloudu přinášejí nízké náklady a vysokou flexibilitu
V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?

V Česku chybí ve firmách tisíce expertů na kyberbezpečnost. Jak to řešit?
Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?

Kyberšmejdi útočí i na firmy. Jací zaměstnanci jim nejčastěji naletí?
Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data

Datová centra: pětihvězdičkový hotel pro vaše data
Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?

Jak vytvořit účinný Incident Response Plan v souladu s NIS2?
asd