Riigi infosüsteemi ameti (RIA) värskes küberturvalisuse aastaraamatu kohaselt registreeriti möödunud aastal 30 lunavararünnakud. Kuigi number ei tundu väga suur, siis taolised intsidendid võivad ettevõtte töö seisata päevadeks.
2021. aasta jaanuaris teatas IT-teenuseid pakkuv firma, et avastas serverites lunavara, mis järjest andmeid krüpteeris. Ettevõtte IT-spetsialist suutis rünnaku peatada, kuid selleks ajaks olid pooled serverid juba krüpteeritud. Firma varundas oma andmeid regulaarselt ning nad said failid koopiatest taastada.
Ühel veebruaripäeval avastas hulgimüügiga tegeleva ettevõtte töötaja, et tal puudub ligipääs serveris töötavatele süsteemidele. Lähemal uurimisel selgus, et sealsed failid, e-posti server, varukoopiad jmt olid lunavaraga krüpteeritud ning kausta oli jäetud lunarahanõue.
Ettevõte eraldas vanad süsteemid võrgust, puhastas seadmed ja paigaldas uuesti tarkvara. Selliste rünnakute vältimiseks muutsid nad töökorraldust ja paigaldasid uued turvalahendused.
Veebruari teises pooles tabas lunavararünnak Harjumaal tegutsevat hooldekodu, mille server krüpteeriti Phobose lunavaraga. Kolm päeva pärast rünnakut õnnestus hooldekodul süsteemid tööle saada. RIA-le teadaolevalt tasus ettevõte lunavaranõude ning märtsi alguseks õnnestus neil kõik failid dekrüpteerida.
Märtsis teatas Tallinnas elektritöid pakkuv ettevõte, et kaugtöölaua protokolli ehk RDP kaudu pääsesid ründajad nende serverisse. Lunavara avastati, kui ühel töötajal ei avanenud Microsoft Office. Selgus, et nende andmed krüpteeriti Lockbiti lunavaraga. Ettevõte eemaldas võrgust servereid ja alustas seadmete puhastamist. Osa andmetest oli varundatud kolm kuud tagasi, mistõttu polnud võimalik kõiki andmeid taastada.
Juulis sai RIA teate, et IT-teenust pakkuva ettevõtte kaudu tabas kohtutäituri seadet lunavararünnak ja kurjategijad nõudsid temalt raha. RIA-le teadaolevalt ei jõutud krüpteerida tagavarakoopiaid.
Novembris teatas lunavararünnakust tööstusettevõte. Pahavaraga krüpteeriti failide hoidmiseks mõeldud server, kus oli ka ettevõtte raamatupidamistarkvara. Esialgse info põhjal krüpteeriti ka tagavarakoopiad.
Kurjategijatele maksta ei tasu
Küberturvalisuse aastaraamatus märgitakse, et kurjategijatele maksmine annab neile vaid indu juurde. Seda raha kasutatakse pahavarade ja kuritegevuse edasiarendamiseks: see tähendab, et rünnakud muutuvad veel ohtlikumaks ja lunarahanõuded suuremaks. Raha maksmine ei garanteeri andmete vabastamist ega tagastamist. On teada juhtumeid, kus pärast lunaraha maksmist paisati ohvri käest varastatud andmed müüki.
Kui langed lunavararünnaku ohvriks, siis tasub sellest teada anda cert@cert.ee. Paljud andmeid lukustavad lunavarad on nüüdseks juba lahti murtud. See tähendab, et on võimalik lukustatud andmed avada ilma, et peaks selleks kurjategijaid nuumama.
Kuidas kaitsta oma ettevõtet lunavararünnaku eest?
Varunda andmeid
Parim kaitse krüpteeriva lunavara vastu on töökindel varundus. Kui ohver suudab tagavarakoopiast andmed taastada, siis on ta lunavararünnakust tuleneva andmekao nurjanud ning kiirel taastamisel saab töö jätkuda. Kuna lunavara püüab krüpteerida faile nii kohalikul kettal, välistel andmekandjatel kui ka võrguketastel, peab varukoopia asuma eraldi, et tagavarakoopia võrguketta krüpteerimise korral ei nakatuks.
Kasuta revisjonlogimist
Aktiveeri failiserverites audit logging ehk revisjonlogimine. See aitab tuvastada lunavaraga nakatunud arvuteid ja servereid, mis võivad krüpteerida võrgukettal asuvaid faile.
Kasuta monitooringuskripte
Võta kasutusele monitooringuskriptid, mis aitavad tuvastada süsteeme, mis muudavad lühikese aja jooksul suure hulga faile. Selline monitooring aitab tuvastada faile krüpteeriva lunavara enne, kui see on jõudnud suuremat kahju tekitada.
Koolita töötajaid
Teavita töötajaid, eriti eemal viibivaid, lunavaraohust ning tuleta neile meelde, et tundmatutele linkidele ei tohi vajutada ega tundmatuid manuseid avada. Sageli nakatuvad arvutid lunavaraga just e-posti teel saabunud linkide või failide kaudu.
Muuda e-posti süsteem viirusekindlamaks
Vaata üle oma e-posti süsteemi turvapoliitikad ning veendu, et logimine on sisse lülitatud (see aitab ka tuvastada nakatunud kasutajad). E-posti süsteem peaks blokeerima või panema karantiini kõik dokumendid, mis sisaldavad käivitatavaid faile ja konteineriformaate.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
