Ettevõtete vastased lunavararünnakud
Lunavara on muutunud üheks suuremaks ohuks kõikidele internetikasutajatele. Ründajad
nakatavad süsteemi pahavaraga, mille eesmärk on krüpteerida või varastada ohvri failid. Pärast
krüpteerimist üritavad ründajad ohvrilt failidele ligipääsu taastamise või info avalikustamata
jätmise eest raha nõuda. Sellised ründed võivad olla väga edukad, eriti korporatiivvõrkudes, kus
on laialdaselt kasutusel failiserverid.
2023. aastal registreeriti Eestis CERT-EE-s 13 mõjuga lunavararünnakut, kuid mitte kõik ohvrid ei anna sellest teada. Lunavararünnaku ohvrite arv võib tunduda väike, aga lunavararünnaku mõju organisatsioonile saamata jäänud tulu ja mainekahju näol võib olla väga suur: Eestist on olemas näide, kus rünnakuga kaasnenud kogukulu ulatus miljonitesse eurodesse.
Lunavaraga nakatumine toimub kõige sagedamini järgmiselt:
- E-kirja manuses sisalduv fail käivitab pahatahtliku koodi.
- E-kirjaga saadetud lingid viitavad pahatahtliku sisuga dokumentidele.
- Kasutatakse ära haavatavaid veebilehitsejaid või tarkvarakomponente.
- Kasutatakse ära avalikke kaugtöölaua teenuseid nagu Remote Desktop Protocol (RDP), mille kaudu saadakse ligipääs ohvri süsteemile.
Kuidas ennetada lunavararünnakut?
Lunavararünnakutest taastumine on keeruline – andmelekke korral võib see olla ka võimatu – ja mõistlik on rakendada ennetavaid meetmeid nakatumise ennetamiseks ning tagajärgede leevendamiseks. Selleks saad teha järgmist:
- kasuta alati viimast tarkvaraversiooni ning veendu, et paigaldatud on kõik turvauuendused (ka veebilehitsejate laienditele ja pistikprogrammidele) ;
- seadista veebi- ja meililüüsides logimine ning blokeeri või pane juba lüüsis karantiini kõik dokumendid, mis sisaldavad käivitatavaid faile, konteineriformaate ja muid failiformaate, mis võivad potentsiaalselt sisaldada aktiivsisuga faile;
- tee regulaarselt varukoopiad, hoides ühe varukoopia alati offline-režiimis ja kontrollides regulaarselt varunduse seisukorda ning terviklust (lunavara võib taustal toimida mitu päeva enne kui see ükskord avastatakse ja seega võib pahavara olla jõudnud juba ka varukoopiateni);
- piira süsteemi kasutajate õigusi ja vähenda seadmeid, mis saavad ligi organisatsiooni süsteemidele (rakenda minimaalõiguste printsiipi ehk pääsupoliitikat, kehtestage “Too ise oma seade” (BYOD) poliitika, vähendamaks organisatsiooni süsteemidele ligipääsevate seadmete hulka);
- koolita töötajaid küberohtude teemal, sh tuleta neile meelde, et tundmatutele linkidele ei tohi vajutada ega tundmatuid manuseid avada.
Mida teha, kui oled langenud lunavararünnaku ohvriks?
Kui oled siiski lunavararünnaku ohvriks langenud, saad juhinduda järgmistest punktidest:
- Juhtumi avastamisel eemalda kohe nakatunud seade võrgust (ära unusta juhtmevaba võrku).
- Kui langesid lunavara ohvriks või kahtlustad, et saadud fail on pahatahtlik, teavita kindlasti CERT-EEd cert@cert.ee. Saame sind abistada. Saadud info annab meile ka parema ülevaate Eesti kübermaastikust ning oskame siis paremini teha ennetustööd lunavara ja teiste sarnaste intsidentide vältimiseks.
- Juhul kui tahad ise sooritada esmase pahavaraanalüüsi, peab enne kettahõivet läbi viima mäluhõive (juhul kui süsteemi ei ole välja lülitatud).
- Taastamine:
- Harvadel juhtudel on võimalik mõne faili taastamine (näiteks Windowsi varjukoopiatest, tõmmistest või vigast krüpteerimist kasutanud lunavara puhul), kuid selle peale ei tasu lootma jääda.
- Võimalusel jäta alles tegelik nakatunud seade, mille saad dekrüptori väljatulekul taas kasutusele võtta.
- Nakatumise korral soovitab CERT-EE operatsioonisüsteemi tagavarakoopiast taastada või paigaldada tarkvara taasnakatumise vältimiseks uuesti. Enne tagavarakoopiast taastamist tuleb veenduda, et see pole samuti pahavaraga nakatunud.
- Enne ründajatega ühendust võtmist kaalu hoolikalt riske. Pole garantiid, et lunaraha maksmisel dekrüpteerib kurjategija failid. Samuti saadab see kurjategijatele sõnumi, et nende tegevus on edukas ja nad võivad sind ka järgmine kord ohvriks valida.
- Kasulikud lingid:
- Millise lunavaraga on tegemist, seda on võimalik teada saada aadressil id-ransomware.malwarehunterteam.com
- Dekrüptori olemasolu saad kontrollida aadressil www.nomoreransom.org.