Weekend z połowy września obsługa lotniska w Bristolu z pewnością zapamięta na długo. W piątek rano złośliwy atak szyfrujący zablokował systemy kontrolujące elektroniczne tablice informacyjne - podstawowy środek komunikacji lotniska z pasażerami. W efekcie zablokowane ekrany wygaszono komunikatem “chwilowej niedostępności usługi” wyświetlanym od 14-ego do 17 września, gdy władze obiektu wreszcie odzyskały kontrolę nad siecią.

Trwająca trzy dni infekcja znacząco spowolniła pracę lotniska, skazując awaryjnie rozszerzony personel na ręczną aktualizację wszystkich godzin przylotów i odlotów. Rozdrażnieni dłuższym oczekiwaniem pasażerowie komentowali te wysiłki w mediach społecznościowych, publikując zdjęcia personelu zapisującego zmywalne tablice i papierowe plakaty rozwieszane na bieżąco w halach portu.

Szczęśliwie po wykryciu piątkowej infekcji władze lotniska zdążyły odłączyć większość swoich systemów nie chcąc ryzykować epidemii i całkowitego paraliżu komunikacyjnego. W ocenie ekspertów Xopero obsługa lotniska zadziałała prawidłowo. Chociaż spowolnienie transferu tysięcy pasażerów z pewnością skomplikowało ich osobiste sprawy - skutkując np. odwołaniem spotkań biznesowych i wyczekiwanych zabiegów medycznych - to łatwo sobie wyobrazić potencjalną skalę zagrożenia, gdyby niepowstrzymany wirus zaszyfrował np. systemy wieży kontrolnej.

Twórcy wirusa standardowo zażądali okupu (wysokości nie ujawniono), a rzecznik prasowy lotniska zapewnił, że usterkę zlikwidowano bez haraczu za odblokowanie tablic, nie wspominając jednak o backupie danych. Czy gdyby ten faktycznie tworzono i sprawdzano, to wznowienie pracy lotniska przyjmującego 8 milionów pasażerów rocznie zajęłoby aż trzy dni?

Grzegorz Bąk, presales engineer Xopero radzi, aby pamiętać o posiadaniu aktualnego i sprawdzonego backupu, który możemy już przywracać nawet sprzed minuty i na dowolne urządzenie użytkownika. Dobry backup wciąż jedyne antidotum na skutki praktycznie wszystkich ataków szyfrujących.

Szyfrowanie krytycznej infrastruktury - jak szpitale czy lotniska - to żadna nowość dla twórców ransomware, przedwcześnie “pożegnanego” przez osoby przekonane, że lata świetności (2016 i 2017) wirusy szyfrujące mają już za sobą. W ubiegłym roku ofiarami takich infekcji padły dwa lotniska ukraińskie: w czerwcu wirus NotPetya sparaliżował lotnisko w Kijowie, a w październiku ransomware Bad Rabbit zablokował port lotniczy w Odessie.

Tymczasem jeszcze w marcu tego roku międzynarodowy port lotniczy Hartsfield-Jackson Atlanta przeczuwając możliwość podobnego cyberataku wyłączył swoją bezpłatną sieć WiFi i niektóre funkcje strony www po tym, jak komputery magistratu miasta uległy infekcji szyfrującej. Być może dzięki temu lotnisko o największej liczbie (103,9 mln) pasażerów obsłużonych w 2017 roku nie musiało sprawdzać swojego ostatniego backupu.

Źródło: Xopero Software