Singapuri küberturbefirma Group-IB tõi oma ülevaates välja, et kuigi lunavararühmitused kasutavad põhiliselt kaugjuurdepääsu teenuseid rünnakutes, siis turvanõrkuste olulisus on nende jaoks kasvamas.
Ettevõtte andmetel hakkasid lunavararühmitused mullu keskenduma rohkem rakenduste turvanõrkuste ärakasutamisele. Ka tänavu esimeses kvartalis kasvas turvanõrkuste kaudu toime pandud lunavararünnakute arv.
Selle aasta esimeses kvartalis avastati 22 uut turvanõrkust, mida lunavararühmitused ära kasutavad. Võrreldes eelmise aasta neljanda kvartaliga on kasv 7,6 protsenti.
Levinumad turvanõrkused, mida lunavararühmitused 2021. aastal ära kasutasid:
- CVE-2021-20016 (SonicWall SMA100 SSL VPN)
- CVE-2021-26084 (Atlassian Confluence)
- CVE-2021-26855 (Microsoft Exchange)
- CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 ja CVE-2021-27104 (Accellion FTA)
- CVE-2021-30116 (Kaseya VSA)
- CVE-2021-34473, CVE-2021-34523 ja CVE-2021-31207 (Microsoft Exchange)
- CVE-2021-35211 (SolarWinds)
Samas levinumad turvanõrkused, mida lunavararühmitused rünnakuteks kasutavad, pole uued, vaid umbes pooled neist avalikustati juba 2019. aastal.
Group-IB tõi välja, et lunavararühmitused lekitasid 3500 ohvri andmed, nendest 1655 asusid USAs. Kõige agressiivsemad olid rühmitused LockBit ja Conti, mille ohvrite hulk küündis vastavalt 670 ja 640ni. Kolmandal kohal oli Pysa, kes lekitas oma veebilehel 186 ohvri andmed.
Keskmine lunavararühmituste nõue oli mullu 247 000 dollarit (233 000 eurot).
Kuidas kaitsta oma ettevõtet lunavararünnaku eest?
Toome järgnevalt välja riigi infosüsteemi ameti soovitused, kuidas ettevõtet lunavararünnakute eest kaitsta:
Varunda andmeid
Parim kaitse krüpteeriva lunavara vastu on töökindel varundus. Kui ohver suudab tagavarakoopiast andmed taastada, siis on ta lunavararünnakust tuleneva andmekao nurjanud ning kiirel taastamisel saab töö jätkuda. Kuna lunavara püüab krüpteerida faile nii kohalikul kettal, välistel andmekandjatel kui ka võrguketastel, peab varukoopia asuma eraldi, et tagavarakoopia võrguketta krüpteerimise korral ei nakatuks.
Kasuta revisjonlogimist
Aktiveeri failiserverites audit logging ehk revisjonlogimine. See aitab tuvastada lunavaraga nakatunud arvuteid ja servereid, mis võivad krüpteerida võrgukettal asuvaid faile.
Kasuta monitooringuskripte
Võta kasutusele monitooringuskriptid, mis aitavad tuvastada süsteeme, mis muudavad lühikese aja jooksul suure hulga faile. Selline monitooring aitab tuvastada faile krüpteeriva lunavara enne, kui see on jõudnud suuremat kahju tekitada.
Koolita töötajaid
Teavita töötajaid, eriti eemal viibivaid, lunavaraohust ning tuleta neile meelde, et tundmatutele linkidele ei tohi vajutada ega tundmatuid manuseid avada. Sageli nakatuvad arvutid lunavaraga just e-posti teel saabunud linkide või failide kaudu.
Muuda e-posti süsteem viirusekindlamaks
Vaata üle oma e-posti süsteemi turvapoliitikad ning veendu, et logimine on sisse lülitatud (see aitab ka tuvastada nakatunud kasutajad). E-posti süsteem peaks blokeerima või panema karantiini kõik dokumendid, mis sisaldavad käivitatavaid faile ja konteineriformaate.