Riigi infosüsteemi amet (RIA) tõi oma kuu ülevaates välja, et märtsis pandi Eesti ettevõtete vastu toime mitu lunavararünnakut.
Üht ettevõtet tabas lunavararünnak, mille käigus krüpteeriti raamatupidamistarkvara andmebaas ja tagavarakoopiad, mis asusid samas serveris. Server oli avalikult kättesaadav RDP (Remote Desktop Protocol) lahenduse kaudu.
RIA märkis, et tihti on kaugtöölauatarkvara ebaturvaliselt seadistatud, mis tähendab et RDP jaoks lahti jäetud võrguühenduste kaudu saab arvutile või serverile ligi välisvõrgust.
Ärigeenius kirjutas eelmise kuu lõpus kahest sellisest rünnakust. Mõlema puhul kasutati krüpteerimiseks Phobose-nimelist lunavara, millel teadaolevalt ei ole dekrüptorit.
Märtsis levisid ka Tallinna Ülikooli ja Estonian Business Schooli nimel saadetud pahavaraga e-kirjad. Kirjadele oli lisatud manusena pahavaraga nakatunud Exceli või ZIP-fail, selle avamisel ja makrode käivitamisel oli kurjategijatel võimalik saada ligipääs kasutaja seadmele. Kirjade pealkirjaks oli näiteks „Hinnapäring 10.03.2022 (Tallinna Ülikool)“ ja neis kutsuti esitama hinnapakkumisi kooli eelarvele.
Riigivõrgus prooviti sarnaseid e-kirju saata rohkem kui 40 000 korral, aga paljud neist blokeeriti juba enne kasutajateni jõudmist. Taoliste e-kirjade puhul on oluline manust mitte avada, kiri edastada asutuse või ettevõtte IT-toele ning seejärel kustutada. Nii toimides e-kiri ega selles sisalduv pahavara arvutis ohtu ei kujuta.
Küberrünnakud mujal maailmas
Venemaa jätkuv agressioon Ukrainas oli märtsis nähtav ka küberruumis. Ukraina sai pihta kõige jõulisema küberrünnakuga invasiooni algusest, mis viis rivist välja riigi suurima telekommunikatsiooniettevõtte Ukrtelekomi. Ründe tõttu jäid inimesed ühenduseta üle riigi. Hinnanguliselt langes ühenduvus üle 80 protsendi võrreldes sõjaeelse ajaga. Kriitilisest infrastruktuurist sai märtsis teist korda küberrünnakuga pihta ka Ukraina telekom Triolan.
Lisaks tuvastati märtsis uut tüüpi hävituslikke pahavarasid, mille eesmärk on nakatatud seadmetest kogu info kustutada ja need kasutuskõlbmatuks muuta. Hävitusvaradega sihitakse aktiivselt Ukraina riigiasutusi ja ettevõtteid.
Ukrainameelselt häälestatud häktivistide rühmitus Anonymous teatas kuu vältel paljudest rünnetest Venemaa organisatsioonide pihta. Näiteks teatati Venemaa keskpanga häkkimisest ja sealt varastatud dokumentide lekitamisest, samuti ka rünnetest Vene Õigeusu Kiriku ja Vene oligarhide investeerimisettevõtete pihta.
Ka küberkurjategijad olid märtsis aktiivsed. Rühmituse Lapsus$’i ohvrite nimekirja lisandusid mitmed suured tegijad, näiteks Microsoft, rahvusvaheline autentimis-ettevõte Okta ning IT- ja tarkvaraarendamise ettevõte Globant. Rühmituse modus operandi on tungida ohvri süsteemidesse, varastada andmed ning nõuda andmete mitte lekitamise eest raha. Kuu lõpus saabusid teated, et võimud pidasid Ühendkuningriigis kinni mitu rühmituse liiget, kes olid vanuses 16-21.
Kuidas RDP-ühendust turvata?
RIA avaldas hiljutises ohuhinnangus soovitused, kuidas ennetada kaugtöölaua protokolli (RDP) kaudu toime pandavaid lunavararünnakuid.
Kasuta VPN-i ehk virtuaalset privaatvõrku. VPN annab lisakaitse, kuna selle taha pandud RD-pordid pole avalikult leitavad. Lisaks saab VPN-lahendusele lisada kaheastmelise autentimise, mis suurendab turvalisust veelgi.
Luba ühendus vaid kindlatelt IP-aadressidelt. RDP-ühendus ei tohiks olla avatud tervele maailmale, vaid ainult nendele IP-aadressidele, mida kasutavad töötajad või koostööpartnerid, kellele on vaja tagada ligipääs. Kui see lahendus pole rakendatav, tuleks kaaluda regioonipiirangut, mis võimaldab juurdepääsu näiteks ainult Eesti IP-aadressidelt. Ehkki selline piirang pole rünnaku vältimiseks piisav, hoiab see eemale suure hulga juhuslikest katsetustest.
Kasuta kaheastmelist autentimist. Tavapärasest paroolist ja kasutajanimest tõhusama kaitse annab mitmeastmeline autentimine, mida on võimalik rakendada ka RDP-ühenduse puhul.
Uuenda tarkvara. Veendu, et seadmete tarkvara on uuendatud. 2019. aasta märtsis avalikkuse ette jõudnud BlueKeep haavatavus (CVE-2019-070) võimaldab RDP vahendusel koodi kaugkäivitust. Ehkki turvauuenduse avaldamisest on möödas kolm aastat, on internetti endiselt ühendatud arvuteid, millele pole seda paigaldatud.
Kasuta turvalisi paroole ja uuenda neid regulaarselt. Ründajad kasutavat RDP kaudu ohvri arvutisse tungimiseks kas lekkinud paroole või jõurünnet. Kasuta pikki ja keerulisi paroole ning väldi nende korduvkasutust. Salasõnade loomiseks, salvestamiseks ja uuendamisel on abiks paroolihaldur. Samuti tasub jälgida, et kasutajanimeks pole mõni üldlevinud nimi: user, admin, administrator vmt.
Seadista ja jälgi logisid. Suuna RDP-logid kas teise Windowsi serverisse, SIEM-i või muu logimislahenduse kasutamise korral sellesse. See tagab, et eduka ründe korral logid säilivad ja neid saab hiljem analüüsida.
Seadista monitooring ja teavitused. Anomaaliate korral peaks monitooring saatma välja teavitused ja hoiatused, millele saaks kiirelt reageerida. Näiteks kui kasutaja logib välja piirkonnast, kus ta seda tavapäraselt ei tee, võiks monitooring juhtida sellele tähelepanu. Samuti tuleks jälgida õnnestunud ja ebaõnnestunud logimisi — see aitab rünnet ära hoida või seda kiirelt tuvastada.