17:10
10/1/2024

Uniwersytet Zielonogórski padł ofiarą ataku, który spowodował m.in. problemy z działaniem poczty i niektórych aplikacji. Doszło do zaszyfrowania danych studentów, ale reakcja uczelni była szybka.

Uczelnia poinformowała o ataku po raz pierwszy 7 stycznia, a sam atak przeprowadzono w nocy z 5 na 6 stycznia 2024 r. Początkowo była mowa o “zablokowaniu wszystkich serwisów działających w środowisku wirtualizacji utrzymywanym w Centrum Komputerowym Uniwersytetu Zielonogórskiego”. W związku z tym przestała działać uczelniana poczta, a także systemy: druku, pobierania kluczy do sal wykładowych oraz systemy biblioteczne. Zajęcia nie zostały wstrzymane.

8 stycznia uczelnia poinformowała o odzyskaniu i udostępnieniu aplikacji:

  • System Dziekanat
  • PracNET (pracownik.uz.zgora.pl)
  • StudNET (student.uz.zgora.pl)
  • PERS/SKEP (https://pers.uz.zgora.pl)
  • Plan zajęć (http://plan.uz.zgora.pl)
  • SylabUZ (https://webapps.uz.zgora.pl/syl)

Kolejnego dnia tj. 9 stycznia uruchomiona została usługa poczty elektronicznej dla pracowników, a skrzynki miały być odzyskane “wraz z ich zawartością sprzed ataku”. Uczelnia powiadomiła, że wiadomości wysłane w czasie niedziałania systemu pocztowego powinny sukcesywnie napływać na skrzynki.

Teraz już wiemy, że za atakiem stał ransomware Akira. Więcej  o tym w aktualizacji poniżej.

Komunikat dla studentów

Incydent został potraktowany jako naruszenie danych osobowych i uczelnia rozesłała do studentów wiadomości na ten temat (zgłosiła też sprawę “odpowiednim organom”). Z wiadomości do studentów wynika, że doszło do zaszyfrowania danych, które w przypadku pracowników obejmowały:

  1. imiona,
  2. nazwiska,
  3. adresy e-mail.

W przypadku studentów zaszyfrowane dane obejmowały:

  1. imiona i nazwiska,
  2. daty urodzenia,
  3. adresy zamieszkania,
  4. adresy e-mail,
  5. numery PESEL,
  6. numery albumu,
  7. numery legitymacji studenckiej,
  8. numery dowodów.

W komunikacie skierowanym do studentów stwierdzono też, że:

Analiza zdarzenia wykonana przez Zespół Centrum Komputerowego Uniwersytetu Zielonogórskiego nie dostarczyła dowodów wytransferowania/pobrania danych z zaatakowanych serwerów.

Zwróciliśmy się do uczelni z dodatkowymi pytaniami dotyczącymi ataku. Gdy tylko je dostaniemy, ten tekst zostanie zaktualizowany.

Co robić? Jak żyć?

Już od dawna piszemy o tym, że ataki ransomware należy traktować jak wycieki danych. Z drugiej strony o tym zdarzeniu wciąż wiemy mało. Właściwie jedynym pewnikiem jest to, że doszło do zaszyfrowania danych i przerwy w działaniu usług, natomiast nie poinformowano ani o okupie, ani o tym kto może stać za atakiem. Trzeba przyznać, że reakcja uczelni była zdecydowana i przywrócenie systemów nastąpiło bardzo szybko.

Niektórzy studenci UZ pytają nas teraz, czy warto coś robić poza zastrzeżeniem numeru PESEL. Owszem, można jeszcze zgłosić dowód osobisty do systemu Dokumenedukacty Zastrzeżone i niezależnie od tego rozważyć wymianę dowodu. Są też inne rzeczy, które można zrobić po wycieku, ale zastosowanie wszystkich nie wydaje się tutaj absolutną koniecznością. Wskazana będzie wzmożona czujność wobec ewentualnych ataków socjotechnicznych, która mogłaby obejmować dane z uczelni.

Aktualizacja 11.01.2024 11:08

To była Akira

Katarzyna Doszczak z biura prasowego Uniwersytetu Zielonogórskiego przekazała nam dodatkowe informacje.

To rzeczywiście był ransomware. Za atakiem stała grupa Akira, a okup jakiego zażądano wynosił 750 tys. dolarów. Uczelnia nie zapłaciła okupu. Dowiedzieliśmy się również, że uczelnia ma wdrożony system monitorowania zasobów IT i już w 4. godzinie ataku Administratorzy zauważyli niedostępność usług, na co natychmiast zareagowali. Doszło do odłączenia od sieci dwóch systemów backupowych. Dopiero po analizie sytuacji zespół Administratorów przystąpił do reinstalacji środowiska z uwzględnieniem blokady potencjalnych wektorów ataku, a następnie odzyskiwania systemów informatycznych uczelni.

Akira to oprogramowanie ransomware znane od ubiegłego roku. Często atakuje podmioty z branży edukacyjnej. Dla tego oprogramowania opracowano już deszyfratory (m.in. od Avast) i jest ono pod pewnymi względami nietypowe np. często wyklucza szyfrowanie plików w zależności od typu. Akira nie szyfruje całych plików (wielkość części zaszyfrowanej zależy od rozmiaru). W Akirze ciekawe jest jeszcze to, że istnieje Linuksowa wersja tego oprogramowania.

Przeczytaj także:

14 komentarzy

Dodaj komentarz
  1. Z tą szybką reakcją bym nie szalał, przez cały dzień nie dotarła do nas żadna informacja o wycieku danych, dowiedzieliśmy się dopiero z artykułu wyborczej.

    • Około 16 wysłali komunikat na skrzynki studenckie. Byłych studentów prawdopodobnie nie powiadomiono – ja nic nie dostałem.

  2. Poprawcie “Dokumenedukacty Zastrzeżone”

  3. Wszystko fajnie, ale nie wspomnieli o tym, czy zaszyfrowane zostały dane tylko obecnych studentów, czy absolwentów również.

  4. I znowu ani slowa komentarza w tekscie po jakie licho uczelnia trzymala PESEL-e w systemie. Bo miala miejsce na dysku i mogla? Ktos kto o tym zadecydowal powinien ostro zabulic, ale nic takiego sie oczywiscie nie stanie.

    • Chociażby dlatego, że PESEL jest na legitymacji studenckiej. Mam wrażenie, że zaczynamy się czepiać tych instytucji, w których to faktycznie ma sens, tylko dlatego że są państwowe.

    • Pesel studenta jest jedną z informacjii którą muszą uczelnie przechowywać.
      Niestety według przepisów muszą trzymać dużo więcej danych takich jak kraj pochodzenia, miejsce urodzenia i wiele innych. Pretensje do naszych rządzących.

    • Jeżeli został zaszyfowany system dziekanatowy, to jest to oprogramowanie typu ERP, które trzyma wszystkie dane na temat studenta, a nr PESEL jest istotny do identyfikacji student , zgodnie z Polskim Prawem. To tak samo jak w kadrach trzymają twój numer Pesel.

  5. Z tego samego powodu poszły dane serwisu abilet
    https://abilet.pl/oswiadczenie

  6. abilet dostał rykoszetem
    https://abilet.pl/oswiadczenie

  7. UZ znowu padł, ciekawe co tym razem :)

  8. Chodzą plotki, że dziś od rana jest jeszcze ciekawiej na UZ niż było. Może redakcja niebezpiecznika zasięgnie po świeższe info od władz uczelni?

    • to nie plotki, wszystko dziś znowu padło

  9. Wyślijcie zapytania do innych uczelni, one też męczą się z ddos’ami, szczególnie w sesji, gdy potrzebny jest dostęp do zasobów udostępnianych na portalach do nauczania zdalnego …

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: