Telefon odebraliśmy rano. Pracownicy nie mogli zalogować się do systemu TMS, na kilku serwerach pojawiły się pliki z żądaniem okupu, a magazyn stanął, bo nikt nie mógł potwierdzić, co i gdzie ma jechać. Firma nie była naszym stałym klientem. Zgłosiła się w trybie awaryjnym, z pytaniem, czy da się to jeszcze uratować.
Sytuacja na wejściu
Spedycja zatrudniała około 80 osób i opierała codzienną pracę na systemie transportowym oraz obsłudze magazynu. Oba działały na serwerach w siedzibie. W nocy ktoś zaszyfrował część maszyn i pozostawił notatkę z żądaniem zapłaty w kryptowalucie. Zespół wewnętrzny zdążył wyłączyć kilka urządzeń, ale nie było jasne, co jest jeszcze zdrowe, a co już nie.
Backup istniał. To dobra wiadomość, którą trzeba jednak opatrzyć drugą, mniej wygodną: nikt go wcześniej nie testował. Kopie się wykonywały, raporty świeciły na zielono, tylko nikt nigdy nie sprawdził, czy z tych plików da się faktycznie odtworzyć działający system.
Dlaczego to było pilne
W logistyce przestój liczy się w godzinach i w konkretnych ciężarówkach, które nie wyjadą. Każda doba bez TMS to niezrealizowane zlecenia, kary umowne i klienci, którzy zaczynają szukać innego przewoźnika. Presja, żeby po prostu zapłacić i mieć spokój, była realna. Naszym zadaniem było pokazać, że jest bezpieczniejsza droga, i przejść nią razem z zespołem.
Jak opanowaliśmy incydent
Zaczęliśmy od izolacji. Odłączyliśmy zainfekowane maszyny od sieci, żeby zatrzymać dalsze szyfrowanie, i zabezpieczyliśmy dane potrzebne do analizy: logi oraz obrazy dysków. Dopiero mając to, ustaliliśmy prawdopodobny wektor wejścia, czyli przejęte konto z dostępem zdalnym i brakiem drugiego składnika logowania.
Równolegle ruszyło odtwarzanie. Kluczowa zasada brzmiała: nie przywracamy niczego do brudnej sieci. Zbudowaliśmy odseparowane, czyste środowisko, zweryfikowaliśmy najświeższe spójne kopie i z nich odtworzyliśmy TMS, bazy danych i pliki magazynowe. To był moment prawdy dla nietestowanego backupu. Okazał się wystarczający, choć straciliśmy około jednej doby najnowszych danych, które trzeba było odtworzyć ręcznie z dokumentów i potwierdzeń.
Krytyczne systemy wróciły do pracy po 22 godzinach od zgłoszenia. Okup nie został zapłacony.
Utwardzenie, żeby się nie powtórzyło
Odzyskanie ciągłości to była połowa roboty. Druga połowa to sprawienie, żeby taki poranek się nie powtórzył. Wdrożyliśmy EDR na wszystkich stacjach i serwerach, zastępując antywirus, który tego ataku w ogóle nie zauważył. Zamknęliśmy drogę wejścia: wymusiliśmy uwierzytelnianie wieloskładnikowe na dostępie zdalnym i uporządkowaliśmy konta.
Na końcu zajęliśmy się tym, co zawiodło najciszej, czyli backupem. Ułożyliśmy plan disaster recovery z jasnym RTO na poziomie czterech godzin dla systemów krytycznych, kopiami odpornymi na szyfrowanie oraz regularnym, protokołowanym testem odtwarzania. Backup przestał być założeniem na papierze.
Co się zmieniło
Firma wróciła do normalnej pracy bez finansowania przestępców. Ma teraz warstwę, która realnie wykrywa ataki, logowanie odporne na wyciek jednego hasła i procedurę odtwarzania, którą sprawdzamy, zanim będzie potrzebna naprawdę. Klient został u nas na stałej opiece: monitorujemy środowisko i cyklicznie testujemy odtwarzanie, bo najlepszy czas na wykrycie problemu z backupem to spokojny wtorek, a nie poranek po ataku.