17:10
10/1/2024

[Aktualizacja] Uniwersytet Zielonogórski ofiarą ataku ransomware

Autor: Marcin Maj | Tagi:  

Uniwersytet Zielonogórski padł ofiarą ataku, który spowodował m.in. problemy z działaniem poczty i niektórych aplikacji. Doszło do zaszyfrowania danych studentów, ale reakcja uczelni była szybka.

Uczelnia poinformowała o ataku po raz pierwszy 7 stycznia, a sam atak przeprowadzono w nocy z 5 na 6 stycznia 2024 r. Początkowo była mowa o “zablokowaniu wszystkich serwisów działających w środowisku wirtualizacji utrzymywanym w Centrum Komputerowym Uniwersytetu Zielonogórskiego”. W związku z tym przestała działać uczelniana poczta, a także systemy: druku, pobierania kluczy do sal wykładowych oraz systemy biblioteczne. Zajęcia nie zostały wstrzymane.

8 stycznia uczelnia poinformowała o odzyskaniu i udostępnieniu aplikacji:

  • System Dziekanat
  • PracNET (pracownik.uz.zgora.pl)
  • StudNET (student.uz.zgora.pl)
  • PERS/SKEP (https://pers.uz.zgora.pl)
  • Plan zajęć (http://plan.uz.zgora.pl)
  • SylabUZ (https://webapps.uz.zgora.pl/syl)

Kolejnego dnia tj. 9 stycznia uruchomiona została usługa poczty elektronicznej dla pracowników, a skrzynki miały być odzyskane “wraz z ich zawartością sprzed ataku”. Uczelnia powiadomiła, że wiadomości wysłane w czasie niedziałania systemu pocztowego powinny sukcesywnie napływać na skrzynki.

Teraz już wiemy, że za atakiem stał ransomware Akira. Więcej  o tym w aktualizacji poniżej.

Komunikat dla studentów

Incydent został potraktowany jako naruszenie danych osobowych i uczelnia rozesłała do studentów wiadomości na ten temat (zgłosiła też sprawę “odpowiednim organom”). Z wiadomości do studentów wynika, że doszło do zaszyfrowania danych, które w przypadku pracowników obejmowały:

  1. imiona,
  2. nazwiska,
  3. adresy e-mail.

W przypadku studentów zaszyfrowane dane obejmowały:

  1. imiona i nazwiska,
  2. daty urodzenia,
  3. adresy zamieszkania,
  4. adresy e-mail,
  5. numery PESEL,
  6. numery albumu,
  7. numery legitymacji studenckiej,
  8. numery dowodów.

W komunikacie skierowanym do studentów stwierdzono też, że:

Analiza zdarzenia wykonana przez Zespół Centrum Komputerowego Uniwersytetu Zielonogórskiego nie dostarczyła dowodów wytransferowania/pobrania danych z zaatakowanych serwerów.

Zwróciliśmy się do uczelni z dodatkowymi pytaniami dotyczącymi ataku. Gdy tylko je dostaniemy, ten tekst zostanie zaktualizowany.

Co robić? Jak żyć?

Już od dawna piszemy o tym, że ataki ransomware należy traktować jak wycieki danych. Z drugiej strony o tym zdarzeniu wciąż wiemy mało. Właściwie jedynym pewnikiem jest to, że doszło do zaszyfrowania danych i przerwy w działaniu usług, natomiast nie poinformowano ani o okupie, ani o tym kto może stać za atakiem. Trzeba przyznać, że reakcja uczelni była zdecydowana i przywrócenie systemów nastąpiło bardzo szybko.

Niektórzy studenci UZ pytają nas teraz, czy warto coś robić poza zastrzeżeniem numeru PESEL. Owszem, można jeszcze zgłosić dowód osobisty do systemu Dokumenedukacty Zastrzeżone i niezależnie od tego rozważyć wymianę dowodu. Są też inne rzeczy, które można zrobić po wycieku, ale zastosowanie wszystkich nie wydaje się tutaj absolutną koniecznością. Wskazana będzie wzmożona czujność wobec ewentualnych ataków socjotechnicznych, która mogłaby obejmować dane z uczelni.

Aktualizacja 11.01.2024 11:08

To była Akira

Katarzyna Doszczak z biura prasowego Uniwersytetu Zielonogórskiego przekazała nam dodatkowe informacje.

To rzeczywiście był ransomware. Za atakiem stała grupa Akira, a okup jakiego zażądano wynosił 750 tys. dolarów. Uczelnia nie zapłaciła okupu. Dowiedzieliśmy się również, że uczelnia ma wdrożony system monitorowania zasobów IT i już w 4. godzinie ataku Administratorzy zauważyli niedostępność usług, na co natychmiast zareagowali. Doszło do odłączenia od sieci dwóch systemów backupowych. Dopiero po analizie sytuacji zespół Administratorów przystąpił do reinstalacji środowiska z uwzględnieniem blokady potencjalnych wektorów ataku, a następnie odzyskiwania systemów informatycznych uczelni.

Akira to oprogramowanie ransomware znane od ubiegłego roku. Często atakuje podmioty z branży edukacyjnej. Dla tego oprogramowania opracowano już deszyfratory (m.in. od Avast) i jest ono pod pewnymi względami nietypowe np. często wyklucza szyfrowanie plików w zależności od typu. Akira nie szyfruje całych plików (wielkość części zaszyfrowanej zależy od rozmiaru). W Akirze ciekawe jest jeszcze to, że istnieje Linuksowa wersja tego oprogramowania.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

14 komentarzy

Dodaj komentarz
  1. Grzegorz 2024.01.10 19:01 | # | Reply

    Z tą szybką reakcją bym nie szalał, przez cały dzień nie dotarła do nas żadna informacja o wycieku danych, dowiedzieliśmy się dopiero z artykułu wyborczej.

    • Przemek 2024.01.10 22:28 | # |

      Około 16 wysłali komunikat na skrzynki studenckie. Byłych studentów prawdopodobnie nie powiadomiono – ja nic nie dostałem.

  2. Obuch 2024.01.10 20:46 | # | Reply

    Poprawcie “Dokumenedukacty Zastrzeżone”

  3. FanHładka 2024.01.10 23:27 | # | Reply

    Wszystko fajnie, ale nie wspomnieli o tym, czy zaszyfrowane zostały dane tylko obecnych studentów, czy absolwentów również.

  4. macias 2024.01.11 06:59 | # | Reply

    I znowu ani slowa komentarza w tekscie po jakie licho uczelnia trzymala PESEL-e w systemie. Bo miala miejsce na dysku i mogla? Ktos kto o tym zadecydowal powinien ostro zabulic, ale nic takiego sie oczywiscie nie stanie.

    • pjeerr 2024.01.11 09:09 | # |

      Chociażby dlatego, że PESEL jest na legitymacji studenckiej. Mam wrażenie, że zaczynamy się czepiać tych instytucji, w których to faktycznie ma sens, tylko dlatego że są państwowe.

    • Bigfoot 2024.01.11 11:28 | # |

      Pesel studenta jest jedną z informacjii którą muszą uczelnie przechowywać.
      Niestety według przepisów muszą trzymać dużo więcej danych takich jak kraj pochodzenia, miejsce urodzenia i wiele innych. Pretensje do naszych rządzących.

    • BC 2024.01.11 13:09 | # |

      Jeżeli został zaszyfowany system dziekanatowy, to jest to oprogramowanie typu ERP, które trzyma wszystkie dane na temat studenta, a nr PESEL jest istotny do identyfikacji student , zgodnie z Polskim Prawem. To tak samo jak w kadrach trzymają twój numer Pesel.

  5. Stan 2024.01.11 10:03 | # | Reply

    Z tego samego powodu poszły dane serwisu abilet
    https://abilet.pl/oswiadczenie

  6. Stan 2024.01.11 10:22 | # | Reply

    abilet dostał rykoszetem
    https://abilet.pl/oswiadczenie

  7. Mariusz 2024.01.23 11:06 | # | Reply

    UZ znowu padł, ciekawe co tym razem :)

  8. rysiek 2024.01.23 11:56 | # | Reply

    Chodzą plotki, że dziś od rana jest jeszcze ciekawiej na UZ niż było. Może redakcja niebezpiecznika zasięgnie po świeższe info od władz uczelni?

    • Mauboliz 2024.01.23 22:39 | # |

      to nie plotki, wszystko dziś znowu padło

  9. Tadeusz 2024.01.29 19:49 | # | Reply

    Wyślijcie zapytania do innych uczelni, one też męczą się z ddos’ami, szczególnie w sesji, gdy potrzebny jest dostęp do zasobów udostępnianych na portalach do nauczania zdalnego …

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: