USE CASE #2
JAK RANSOMWARE SPARALIŻOWAŁ HURTOWNIĘ Z NIEAKTUALNYM SYSTEMEM ERP

ŹRÓDŁA PODATNOŚCI NA ATAK

• System ERP był nieaktualny, ponieważ spełniał swoją funkcję i obawiano się, że aktualizacja naruszy liczne dedykowane dodatki, do których brakowało kodów źródłowych.
  
• Antywirus działał bez centralnego zarządzania, co uniemożliwiało szybką ocenę stanu bezpieczeństwa wszystkich stacji roboczych.
• Infrastruktura sieciowa opierała się na prostym routerze klasy SOHO bez segmentacji sieci i kontroli ruchu.
  

INCYDENT

Atak nastąpił w czasie weekendu, gdy czujność jest najniższa. Po powrocie do pracy pracownicy stwierdzili pełny paraliż: serwer główny oraz wszystkie maszyny wirtualne zostały zaszyfrowane przez oprogramowanie typu ransomware.

Infrastruktura została całkowicie unieruchomiona, a serwer musiał zostać zabezpieczony jako materiał dowodowy.

DLACZEGO ATAK SIĘ POWIÓDŁ?

• Wykorzystanie znanych luk: nieaktualizowany system ERP stanowił bezpośredni wektor ataku, pozwalając przestępcom na przejęcie kontroli nad krytycznym zasobem.
  
• Iluzja ochrony: antywirus bez centralnego zarządzania dał fałszywe poczucie bezpieczeństwa. W rzeczywistości nikt nie widział alertów o podejrzanej aktywności, które mogły pojawić się na pojedynczych komputerach przed głównym atakiem.
  
• Brak barier wewnętrznych: brak segmentacji sieci na routerze SOHO sprawił, że po zainfekowaniu jednego elementu ransomware mogło bez przeszkód rozprzestrzenić się na całe środowisko wirtualne.
• Brak monitoringu 24/7: przestępcy mogli swobodnie działać przez cały weekend, ponieważ nikt nie obserwował logów systemowych i nie zareagował na anomalie w czasie rzeczywistym.

SKUTKI INCYDENTU

• Atak wymusił na firmie natychmiastową i kosztowną reorganizację. Choć codzienna kopia zapasowa bazy danych ERP wykonywana do chmury zadziałała i pozwoliła odzyskać same dane, proces przywracania firmy do życia był niezwykle trudny.
  
• Brak plików instalacyjnych starego systemu ERP, dokumentacji dedykowanych dodatków oraz brak procedur Disaster Recovery (odzyskiwania po awarii) znacząco wydłużyły przestój.
  
• Aby uniknąć powtórki, firma wymieniła router na profesjonalną zaporę UTM klasy biznesowej i wdrożyła centralnie zarządzaną ochronę wszystkich urządzeń (endpointów). Postawiono nowy serwer oraz wdrożono rygorystyczne procedury odtwarzania danych.
  

ROLA SOC ADQ: CO BY SIĘ ZMIENIŁO?

• Szybsza detekcja: nasi analitycy wykryliby pierwsze oznaki aktywności ransomware (np. próby skanowania sieci czy nietypowe połączenia z routera SOHO) jeszcze przed zaszyfrowaniem plików.
  
• Skrócenie czasu reakcji: dzięki wcześniejszemu wykryciu anomalii możliwe byłoby ograniczenie skutków ataku dzięki szybszej reakcji.
  
• Profesjonalne wsparcie: administrator IT nie musiałby walczyć w pojedynkę; otrzymałby od nas konkretne instrukcje i wsparcie w procesie neutralizacji zagrożenia.
  

KLUCZOWE WNIOSKI:

• Posiadanie kopii danych nie gwarantuje szybkiego powrotu do pracy, jeśli nie masz przygotowanych procedur i instalatorów systemów.
  
• Utrzymywanie krytycznych narzędzi (jak ERP) bez poprawek bezpieczeństwa to ogromne ryzyko biznesowe.
  
• Tylko centralne zarządzanie i monitoring 24/7 pozwalają realnie panować nad zagrożeniami.