Riigi infosüsteemi ametile (RIA) on viimasel kahel nädalal teada antud kolmest lunavararünnakust. Nendest kaks pandi toime eelmisel nädalal Tallinnas tegutsevate ettevõtete vastu.
Mõlemad lunavararünnakud toimusid eelmise nädala kolmapäeval ehk 23. märtsil ning krüpteerimiseks kasutati Phobose-nimelist lunavara, millel teadaolevalt ei ole dekrüptorit.
Tallinnas tegutsev suurettevõte avastas, et mitme nende serveri sisu krüpteeriti. Seetõttu oli häiritud eri tarkvarade kasutamine ning arveldamine.
Kuidas rünnakud toimusid?
Esialgsetel andmetel lõi suurfirma koostööpartnerile täiendavate piiranguteta kaugtöölauaprotokolli (RDP) ligipääsu ühte sisevõrgus asuvasse serverisse. 28 tundi hiljem olid failid krüpteeritud nii kõnealuses serveris kui ka neljas samas võrgus asuvas serveris. Ettevõte oli arvestanud küberrünnaku riskiga ja andmed olid varundatud ja laastava lunavara eest kaitstud. Andmebaaside sisu oli turvalisuse tagamiseks omalt poolt krüpteeritud, seega sai andmed ja süsteemid taastada ning andmelekke ohtu ei ole.
Teine rünnak puudutas ehitussektoris tegutsevat ettevõtet, kus eelmise nädala kolmapäeva õhtul avastati, et raamatupidamisserver oli krüpteeritud Phobose-nimelise lunavaraga. Esialgsel hinnangul krüpteeriti ka kõvaketas, kus olid tagavarakoopiad.
Varasemast ajast pärineb näide, kus IT-tehnik lõi enda jaoks ajutise RDP-ühenduse ettevõtte serverisse eelneva päeva õhtul ning järgmise päeva hommikul tööle asudes avastas, et server oli juba krüpteeritud. Kurjategijad kasutasid väga kiiresti ära eelmisel õhtul tehtud ühendust.
RIA rõhutab, et lunavararünnakud on kõige rängema mõjuga rünnakud küberruumis. Kui ründajad krüpteerivad ka varukoopia, nagu mitme hiljutise juhtumi puhul, siis pole ettevõttel häid valikuid. Enamik lunavararünnakuid algab just RDP kaudu, mis on jäetud kogu maailmale avatuks. Seetõttu on ettevõtteid säästev RDP-lahenduste korrektne seadistus väga tähtis.
Väga väikestelt ettevõtetelt on nõutud andmete avamise eest 1600 euro suurust lunaraha, suurematelt ettevõtetelt küsitakse bitcoin’i või isegi suuremat tasu. Ühe bitcoin’i hind jääb praegu 42 000 euro kanti. Tõenäoliselt kasutavad kurjategijad hinnastamiseks avalikke allikaid, nagu inforegister või e-krediidiinfo, ning panevad hinna paika seal nähtu põhjalt. RIA ei soovita ühelgi ettevõttel lunavara tasuda, sest see toidab kuritegelikku masinavärki ega garanteeri andmete vabastamist ja ei välista nende edasi müümist.
Kuidas RDP-ühendust turvata?
RIA avaldas hiljutises ohuhinnangus ka soovitused, kuidas ennetada kaugtöölaua protokolli (RDP) kaudu toime pandavaid lunavararünnakuid.
Kasuta VPN-i ehk virtuaalset privaatvõrku. VPN annab lisakaitse, kuna selle taha pandud RD-pordid pole avalikult leitavad. Lisaks saab VPN-lahendusele lisada kaheastmelise autentimise, mis suurendab turvalisust veelgi.
Luba ühendus vaid kindlatelt IP-aadressidelt. RDP-ühendus ei tohiks olla avatud tervele maailmale, vaid ainult nendele IP-aadressidele, mida kasutavad töötajad või koostööpartnerid, kellele on vaja tagada ligipääs. Kui see lahendus pole rakendatav, tuleks kaaluda regioonipiirangut, mis võimaldab juurdepääsu näiteks ainult Eesti IP-aadressidelt. Ehkki selline piirang pole rünnaku vältimiseks piisav, hoiab see eemale suure hulga juhuslikest katsetustest.
Kasuta kaheastmelist autentimist. Tavapärasest paroolist ja kasutajanimest tõhusama kaitse annab mitmeastmeline autentimine, mida on võimalik rakendada ka RDP-ühenduse puhul.
Uuenda tarkvara. Veendu, et seadmete tarkvara on uuendatud. 2019. aasta märtsis avalikkuse ette jõudnud BlueKeep haavatavus (CVE-2019-070) võimaldab RDP vahendusel koodi kaugkäivitust. Ehkki turvauuenduse avaldamisest on möödas kolm aastat, on internetti endiselt ühendatud arvuteid, millele pole seda paigaldatud.
Kasuta turvalisi paroole ja uuenda neid regulaarselt. Ründajad kasutavat RDP kaudu ohvri arvutisse tungimiseks kas lekkinud paroole või jõurünnet. Kasuta pikki ja keerulisi paroole ning väldi nende korduvkasutust. Salasõnade loomiseks, salvestamiseks ja uuendamisel on abiks paroolihaldur. Samuti tasub jälgida, et kasutajanimeks pole mõni üldlevinud nimi: user, admin, administrator vmt.
Seadista ja jälgi logisid. Suuna RDP-logid kas teise Windowsi serverisse, SIEM-i või muu logimislahenduse kasutamise korral sellesse. See tagab, et eduka ründe korral logid säilivad ja neid saab hiljem analüüsida.
Seadista monitooring ja teavitused. Anomaaliate korral peaks monitooring saatma välja teavitused ja hoiatused, millele saaks kiirelt reageerida. Näiteks kui kasutaja logib välja piirkonnast, kus ta seda tavapäraselt ei tee, võiks monitooring juhtida sellele tähelepanu. Samuti tuleks jälgida õnnestunud ja ebaõnnestunud logimisi — see aitab rünnet ära hoida või seda kiirelt tuvastada.