Aktuāli

"Cert.lv": Pērn kibertelpā piedzīvots daudz jaunu izaicinājumu un līdz šim neredzētu uzbrukuma veidu

Sabiedrība
Sargs.lv/Cert.lv
Image
bilde
Foto: Pixabay.com

Pagājušais gads pārsteidza gan fizisko pasauli, gan arī kiberpasauli, kad pandēmijas dēļ strauji liela daļa ikdienas tika pārcelta uz kibertelpu. Līdz ar to pērn piedzīvots daudz jaunu izaicinājumu – virkne īpaši pielāgotu krāpšanas kampaņu, strauja pielāgošanās attālinātajam darbam, jaunas un kritiskas ievainojamības, kā arī līdz šim vēl neredzēti uzbrukumu paveidi. Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas (“Cert.lv”) eksperti apkopojuši būtiskākos izaicinājumus 2020. gadā, kas novēroti ikdienas komunikācijā ar valsts un pašvaldību iestādēm, kā arī apstrādājot ienākošos ziņojumus par kiberincidentiem.

2020. gadā īpaši audzis kiberuzbrukumu skaits privātpersonu iekārtām mājsaimniecībās, piemēram, privātajiem datoriem, maršrutētājiem, viedajiem televizoriem. “Cert.lv” informē, ka, salīdzinot ar pirms-pandēmijas periodu, uzbrukumu skaits audzis par 15-30%. Tāpat periodiski novēroti kiberuzbrukumi arī pret attālinātā darba instrumentiem, piemēram, VPN (Virtual Private Network) un RDP (Remote Desktop Protocol). Šo uzbrukumu skaits pieaudzis par aptuveni 20%.

Institūcija atzīmē – neatkarīgi no pandēmijas 2020. gadā novērots nepārtraukts pieaugums arī krāpnieciska rakstura kampaņām. Šādu kampaņu mērķauditorija pārsvarā bija gala lietotāji, savukārt mērķis - autentifikācijas datu izgūšana.

Kā redzamākās kampaņas 2020. gadā “Cert.lv” izceļ krāpnieciskos telefonzvanus dažādu banku klientiem un SMART-ID lietotājiem, kā arī masveidā saņemtus e-pastus no vairāk nekā 200 kompromitētām Latvijas iestādēm un uzņēmumiem ar pielikumā esošu “Emotet” saimes datorvīrusu.

Pagājušajā gadā institūcija atklājusi arī vairākas īpaši kritiskas ievainojamības (piemēram, Windows DNS: CVE-2020-1350, SMB: CVE-2020-0796, Windows Server: CVE-2020-1472, SAP: CVE-2020-6287). Cert.lv norāda – dažas no tām uzbrucēji pamanījās noteiktu laiku pielietot uzbrukumos, kamēr vēl nebija pieejami ielāpi, līdz ar to tās klasificējamas kā t.s. “Zero day” ievainojamības (neatklāta/nezināma ievainojamība). “Cert.lv” sacīts – citus gadus ikviena no tām būtu sava veida “zvaigzne”, kas gozētos prožektoru gaismās, taču pērn bija grūti izšķirt, kura no ievainojamībām ir kritiskāka. Tādēļ institūcija aicina lietotājus īpaši pievērst uzmanību aktuālajiem atjauninājumiem, tiklīdz tādi parādās.

Straujā pāreja uz attālināto darbu

“Cert.lv” norāda – pāreja uz attālināto darbu virkni organizāciju un uzņēmumu pārsteidza nesagatavotus, un, domājams, ir 2020. gada galvenā iezīme, kas radīja virkni izaicinājumu tieši darba devējiem un darbiniekiem. Radās teju tūlītēja nepieciešamība nodrošināt darbiniekiem attālinātu piekļuvi darba infrastruktūrai un informācijai. Savukārt, ņemot vērā, ka samazinājās centralizētas kontroles iespējas pār darbinieku rīcību un darbstacijās notiekošo, jo īpaši gadījumos, kad darba vajadzībām tika izmantotas privātās iekārtas, radās nepieciešamība saglabāt atbilstošu drošības līmeni, kā arī izvēlēties un ieviest drošības prasībām atbilstošus attālinātās komunikācijas un videokonferenču rīkus.

Tāpat steigā, kuru diktēja COVID-19 pandēmijas straujā izplatība, virknē uzņēmumu un organizāciju pieļauti kompromisi attiecībā uz drošību, lai spētu pēc iespējas ātrāk pārslēgties uz pilnvērtīgu attālināto darbu. “Cert.lv” norāda – arī pirms Covid-19 izplatības neatbilstoši konfigurētas RDP piekļuves bija apdraudējums, tomēr pandēmijas apstākļos problēma tikai saasinājusies. Uzbrucēji izmantojuši gan nepietiekami aizsargātus RDP servisus, gan VPN vārtejas, lai kompromitētu sistēmas un piekļūtu uzņēmumu un organizāciju iekšējam tīklam.

Image
Foto: Pixabay.com
Foto: Pixabay.com
Foto: Pixabay.com

Savukārt biežākā problēma izrādījusies nepietiekami drošu paroļu izvēle, kuras uzbrucējiem izdevās uzminēt vai piemeklēt, kā arī neatjaunotas VPN iekārtas un papildu drošības mehānismu neesamība.

Divfaktoru autentifikācija

Informācijas un datu aizsardzībai daudziem tiešsaistes pakalpojumiem arvien populārāka kļuvis divfaktoru autentifikācijas iespēja (angliski tiek lietots termins "two-factor authentication" vai arī 2FA) - mehānisms, kas papildina paroli un palīdz pārliecināties, ka lietotājs tiešām vēlas konkrētajā brīdī piekļūt informācijai vai datiem un ir tas, par ko uzdodas.

Kā liecina “Cert.lv” ekspertu novērojumi, daļai iedzīvotāju šī papildu mehānisma nozīme un darbība joprojām nav skaidra. Šis fakts piesaistījis arī lielu krāpnieku interesi, kas bieži vērsta tieši pret banku izmantoto divfaktoru autentifikācijas risinājumu - SMART-ID. Izmantojot iedzīvotāju nezināšanu, krāpnieki zvanīja un prasmīgi uzdevās par SMART-ID vai banku darbiniekiem, lai panāktu otrā faktora ievadi un izkrāptu finanšu līdzekļus.

Lielākai ticamībai ļaundari viltoja banku telefona numurus un steidzināja lietotājus veikt nepārdomātas darbības, aizbildinoties, ka nepieciešams novērst nelikumīgas darbības lietotāja bankas kontā. Gan bankas, gan “Cert.lv” regulāri atgādināja sabiedrībai, ka bankas nezvana klientiem un nelūdz izpaust lietotājvārdus, paroles vai ievadīt SMART-ID kodus.

Arī “Sargs.lv” pagājušā gada nogalē informēja par krāpniekiem, kuri, uzdodoties par banku pārstāvjiem, izkrāpj kredītkaršu un internetbanku datus, kā arī banku piekļuves datus - lietotājvārdu, paroli vai Smart-ID pin kodu. Līdz 2020. gada septembrim par krāpniecības upuriem Latvijā  kļuva simtiem cilvēku. Savukārt kopumā izkrāpto līdzekļu atzīme pārsniedza vairākus simtus tūkstošus eiro.

Tāpat institūcijas pārskatā norādīts  - arī “WhatsApp” lietotnes kontu pārņemšanas uzbrukumi daudzkārt realizēti, uzbrucējam no upura izkrāpjot jaunas iekārtas pievienošanai nepieciešamo autentifikācijas kodu. Īstenojot šos uzbrukumus arī izmantota lietotāja lētticība vai nezināšana par lietotnes izmantošanu, nevis tehnoloģiski smalkas un sarežģītas metodes.

Image
PA Wire/PA Images/Scanpix
Foto: PA Wire/PA Images/Scanpix
PA Wire/PA Images/Scanpix

 

Sociālo tīklu kontu nedienas

Sociālie tīkli turpina ieņemt arvien lielāku lomu cilvēku savstarpējā komunikācijā un nemainīgi kļūst par arvien populārāku risinājumu arī iestāžu, organizāciju un uzņēmumu komunikācijā ar sabiedrību.

“Cert.lv” akcentē – arī šajā jomā sevi aktīvi pieteica krāpnieki, kuri centās pārņemt savā kontrolē profilus ar gana lielu sekotāju skaitu, lai pārvērstu tos par dažādu, lielākoties Āzijas tirgum domātu, preču un pakalpojumu reklāmu platformām. Krāpnieki, izmantojot iebiedēšanas taktiku un izliekoties par, piemēram, Facebookadministrāciju, draudējuši lietotājiem ar konta darbības apturēšanu, kā iemeslu minot autortiesību pārkāpumus vai citu lietošanas noteikumu pārkāpumus. Rezultātā, lietotāji brīvprātīgi ievadīja un atdeva savus piekļuves datus krāpniekiem.

Izspiešanas daudzās nokrāsas

Institūcija atzīst – pērn uzbrucēji īpaši apliecinājuši savu radošumu, demonstrējot, cik daudzos un dažādos veidos iespējams veikt izspiešanu. Ja līdz 2020. gada sākumam plaši izplatīti bijuši izspiešanas e-pasti, kuros individuāliem lietotājiem draudēts ar kompromitējošu ierakstu nosūtīšanu draugu un paziņu lokam, ja netiks samaksāta izpirkuma maksa, tad 2020. gada pirmajā pusē līdzīgi e-pasti parādījušies arī uzņēmumiem, kuros draudēts publiskot datubāzi, kas nesankcionēti izgūta no uzņēmuma mājas lapas/sistēmas. Turklāt abos gadījumos tie bijuši tikai draudi, un informācijas vai kompromitējošu materiālu krāpniekiem patiesībā nemaz nebija.

Pagājušajā gadā uzbrucēji arī nav aprobežojušies tikai ar automatizētu draudu e-pastu izsūtīšanu. “Cert.lv” klāsta, ka 2020. gada otrajā pusē visā Eiropā aktivizējusies piekļuves atteices jeb DDoS uzbrukumi uzņēmumiem. Uzbrucēji pieprasījuši izpirkuma maksu, draudot apturēt uzņēmuma darbību, īstenojot apjomīgu DDoS uzbrukumu. Draudu pamatotības apliecināšanai atsevišķos gadījumos pat veikti arī iebiedēšanas uzbrukumi līdz pat 180 gigabaitiem/sekundē apjomā un solīti uzbrukumi līdz pat 2 terabaitiem/sekundē. Iebiedēšanas uzbrukumi gan nav ilguši vairāk par dažām dienām. Visbiežāk tie ilguši mazāk par stundu. Institūcija arī uzsver, ka lielākoties atkārtoti uzbrukumi nav sekojuši. Ja uzņēmums neuzsāka komunikāciju ar izspiedējiem, tie zaudēja interesi un mainīja mērķi.

Image
Foto: Pixabay.com
Foto: Pixabay.com
Foto: Pixabay.com

Novērota arī risku diversifikācija (Riska pārvaldības stratēģija. Piemēram, naudas līdzekļi tiek ieguldīti dažādās nozarēs, un vienā no nozarēm rodas satricinājums, citas nozares līdzsvaros sekas.) no uzbrucēju puses. Ja uzbrucējiem, izmantojot, piemēram, vāju RDP paroli, bija izdevies piekļūt uzņēmuma sistēmām, tika veikta darbstaciju un serveru šifrēšana, pieprasot samaksu par datu atjaunošanu. Ļaundari pirms datu šifrēšanas iegūtos datus kopēja, lai gadījumā, ja uzņēmumam vai organizācijai izrādītos sagatavotas datu rezerves kopijas datu atgūšanai, pieprasītu izpirkuma maksu par datu nenopludināšanu.

Šādos un līdzīgos izspiešanas gadījumos “Cert.lv” atgādina, ka ir svarīgi neuzsākt komunikāciju ar izspiedējiem un noteikti nemaksāt izpirkuma maksu. Visbiežāk izpirkuma maksas samaksāšana neatturēs uzbrucējus, bet tieši pretēji - veicinās atkārtotus uzbrukumus nākotnē, jo būs gūts apliecinājums, ka attiecīgais mērķis ir spējīgs un gatavs maksāt. Tāpat institūcija atgādina, ka maksājot uzbrucējiem, tiek nodrošināts uzbrucēju finansējums, kas ļauj tiem pilnveidot metodes un izmantotās tehnoloģijas, kā arī motivē turpināt uzbrukumus.

“Cert.lv” arī atgādina – arī Latvijas Interneta pakalpojumu sniedzēji piedāvā saviem korporatīvā segmenta klientiem DDoS aizsardzības pakalpojumus šādu uzbrukumu atvairīšanai.

Emotet - ļaunatūra ar bumeranga efektu?

2020. gada otrajā pusē vairākos kampaņveidīgos uzbrukumos globālajā un arī Latvijas tīmeklī tika izplatīta spiegojošā ļaunatūra “Emotet”. Upuris ļaunatūru parasti saņēma e-pastā no e-pasta adrešu grāmatiņā esoša jau inficēta kontakta. “Emotet” no inficētās iekārtas ievāca kontaktu sarakstu un e-pastu sarakstes, kā arī citu sensitīvu informāciju. Savukārt Fragmentus no iegūtajām sarakstēm ļaunatūra iekļāva e-pastos, ar kuru palīdzību sevi izsūtīja tālāk, tā radot iespaidu, ka saņemtais e-pasts ir uzticams un tiek turpināta iesākta sarakste. “Emotet”, pēc nonākšanas datorā, veica mēģinājumus izplatīties organizācijas iekšējā tīklā, kā arī lejuplādēja iekārtā vēl citas ļaunatūras, piemēram, “TrickBot” (kuras mērķis ir finanšu informācijas izgūšana), veica tālāku šifrējošo vīrusu izplatīšanu un citas ļaundabīgas darbības.

Latvijā īsā laika periodā ar “Emotet” tika inficētas vairāk nekā 200 organizācijas. Tika zaudēta kontrole pār e-pastu sarakstēm un citu informāciju. “Cert.lv” paredz, ka pēc gada vai ilgāka perioda iegūtā informācija var parādīties atkārtotos uzbrukumos vai tikt izmantota citās, mērķētās ļaundabīgās kampaņās.

“Sargs.lv” pagājušajā nedēļā vēstīja, ka “Cert.lv” pēdējā laikā saņem arvien vairāk ziņojumu par jaunu “Emotet” vīrusa kampaņu, kas tiek maskēta gan aiz novēlotiem svētku apsveikumiem, gan cita veida aktuāliem tematiem, piemēram, atgādinājumu par pasūtījuma izņemšanu vai jaunu rēķinu. E-pasta pielikumā esošais ZIP fails satur “Emotet” saimes datorvīrusu, tāpēc datorlietotāji tiek aicināti šādus failus neatvērt.

Dalies ar šo ziņu