Riigi infosüsteemi amet (RIA) tõi oma aastaraamatus välja, et kuigi mullu registreerisiti vähem lunavararünnakuid kui aasta varem, põhjustasid need Eesti ettevõtetele siiski olulist kahju ja ebamugavust.
2021. aastal registreeris RIA 30 Eesti ettevõtete, asutuste ja eraisikute vastu suunatud lunavararünnakut, kuid eelmisel aastal 21. Ohvreid oli tootmisettevõtete seas, kaubanduses, majutuses, logistikas, energeetikas ja teistes valdkondades.
Isegi siis, kui ohvritel olid krüpteeritud andmetest varukoopiad olemas, häirisid lunavararünnakud oluliselt nende tegevust. Ühes ettevõttes seiskus rünnaku tõttu tootmisjuhtimise tarkvara, teises ei saanud kassasüsteemide lukustumise tõttu kliente teenindada, kolmandas katkesid sisemised tööprotsessid ja infovahetus – kui tuua vaid mõned näited.
Enamasti ei tea CERT-EE, kui suurt tasu ründajad andmete taastamiseks vajaliku võtme eest nõuavad. Esmases teates kutsuvad nad ohvrit ühendust võtma, et arutada summa üle, aga enamasti jääb see dialoog avamata. CERTEE-le teadaolevalt ükski sihtmärk möödunud aastal lunavaranõuet ei tasunud ning kurjategijad jäid vähemalt Eestis tasust ilma.
Milliseid lunavararünnakuid aset leidis?
Möödunud aasta algas nelja Eesti ettevõtte jaoks lunarahanõudega. Kahel juhul oli ettevõtte töö tugevalt häiritud, sest puudus ligipääs infosüsteemidele.
Suures osas õnnestus ettevõtetel tänu tagavarakoopiatele oma tööprotsessid ja andmed siiski taastada, kuid ühel juhul hoiustati tagavarakoopiaid samas serveris, mis rünnaku käigus ära krüpteeriti. Siit ka soovitus hoida varundused eraldatud keskkonnas, et rünnaku korral ei krüpteeriks pahavara ka neid.
Juulis tabas Loki-nimeline lunavara ettevõtet, mis oli teinud oma IT-süsteemides muudatusi ja jätnud avalikult kättesaadavaks rohkem teenuseid kui olnuks turvaline. Ründajad kasutasid pakutud võimalust, tungisid virtuaalserverisse ja krüpteerisid selle sisu. Ettevõte eemaldas virtuaalserveri võrgust, taastas krüpteeritud andmed varukoopiast ja kurjategijad jäid palgapäevata.
2022. aasta suvel sai üks ettevõte lunavaraga pihta lausa kahel korral. Mõlemal puhul õnnestus andmed varukoopiatest taastada, kuid ettevõtte töö oli siiski rünnakutest tugevalt häiritud. Kuna server ei töötanud, ei toiminud ka sellest sõltuvad kliendihaldusprogrammid.
Rünnakud õnnestusid tõenäoliselt seetõttu, et ettevõtte võrguseadme haldusliidesed olid avalikult kättesaadavad ning ründaja suutis ühe kasutaja konto üle võtta.
Samuti olid ettevõttes loodud paroolid liiga lühikesed ega sisaldanud piisavalt tähemärke või sümboleid. Selliste salasõnade murdmine on ründajale suhteliselt lihtne ning mitmed võimalikud näited eksisteerivad juba ründesõnastikes. Samuti polnud paroolidele kehtestatud aegumistähtaega. Pärast ligipääsu saamist krüpteeriti ettevõtte andmed Phobose-nimelise lunavaraga.
Aasta teises pooles nägi RIA võrdlemisi uue tulijana Royali-nimelist lunavara, mis tabas energiasektoris tegutsevat ettevõtet. Rünnaku käigus nakatusid nii ettevõtte tööjaamad kui ka serverid. Pahavara levik piirdus kontorivõrguga – tootmist ja lõpptarbijaid see ei mõjutanud. Novembris ründasid kurjategijad Eesti ettevõtet, kes pakub teenuseid elutähtsa teenuse osutajatele. Tänu kiirele reageerimisele suudeti kõige mustem stsenaarium ära hoida ning ründaja ei jõudnud edasi ettevõtte koostööpartnerite süsteemidesse.
Kuidas rünnakud toimusid?
Enam kui pooltel juhtudel tungisid ründajad ohvri süsteemidesse kaugtöölaua protokolli (Remote Desktop Protocol ehk RDP) kaudu. Soovitused, kuidas kaugtöölaua protokolli turvata:
1. Kasuta VPNi ehk privaatvõrku.
2. Luba ühendus vaid kindlatelt IP-aadressidelt.
3. Kasuta kaheastmelist autentimist.
4. Piira ebaõnnestunud autentimiskatsete hulka.
5. Uuenda tarkvara.
6. Kasuta turvalisi paroole ja uuenda neid regulaarselt.
7. Seadista ja jälgi logisid.
8. Seadista monitooring ja teavitused.
Ärigeeniuse uudised sinu postkastis Ärigeeniuse uudiskiri toob sinuni valiku nädala olulisematest äriteemadest, põnevad persoonilood ja ekspertide soovitused.
