A kiinduló helyzet
Szombat este 23:14-kor egy közép-magyar webshop tulajdonosa felfedezte, hogy a teljes adminisztrációs felület titkosítva van: ransomware támadás. A támadók 0,5 BTC váltságdíjat kértek (kb. 12 millió Ft). A céges levelezésen keresztül bejutottak, és nemcsak a webszervert, de a 2 lokális fájl-szervert is titkosították.
A megoldás
- Vasárnap 00:30 — érkezés: a fertőzött rendszerek azonnali hálózati izolálása, hogy a kártevő ne terjedjen tovább.
- 01:15 — forensic snapshot készítése a fertőzött diszkekről további elemzéshez.
- 02:00 — felhő backup ellenőrzése: a 8 órával korábbi mentés érintetlen, mert offsite/offline volt.
- 03:30 — új tiszta szerverkörnyezet kiépítése: megerősített Linux + Docker, friss SSL, WAF.
- 05:00 — adatok visszaállítása a backup-ból; csak 8 óra rendelés-adat elveszett (utólag újrarögzítettünk).
- 07:30 — biztonsági megerősítés: MFA minden admin fiókra, Cloudflare elé tolva, automatikus DDoS védelem.
- 08:14 — webshop visszaél: az ügyfelek elkezdhetnek rendelni.
- Hét közben: phishing tréning a 4 fős csapatnak, jelszó-rotáció, makró-tiltás, EDR telepítés minden gépre.
Számokban mérhető eredmény
9 óra
RTO (helyreállási idő)
támadástól újra-online állapotig
8 óra
RPO (adatvesztés)
csak ennyi rendelés ment el
0 Ft
Váltságdíj
nem fizettünk
0
Ismétlődő incidens
a 12 hónapos megfigyelés alatt
„Hajnali 1-kor felhívtuk a SecureDev-et a sürgősségi vonalon. Reggel 8-ra már megint élt a shop. A támadók egy hetes leállást terveztek és váltságdíjat — egyiket sem kapták meg."