Jäta menüü vahele Ligipääsetavus

Tähelepanu! Levimas on investeerimispettused. Vaata lähemalt: Investeerimispettused

Ettevõtete vastased lunavararünnakud

Lunavara on muutunud üheks suuremaks ohuks kõikidele internetikasutajatele. Ründajad nakatavad süsteemi pahavaraga, mille eesmärk on krüpteerida või varastada ohvri failid. Pärast krüpteerimist üritavad ründajad ohvrilt failidele ligipääsu taastamise või info avalikustamata jätmise eest raha nõuda. Sellised ründed võivad olla väga edukad, eriti korporatiivvõrkudes, kus on laialdaselt kasutusel failiserverid.

2023. aastal registreeriti Eestis CERT-EE-s 13 mõjuga lunavararünnakut, kuid mitte kõik ohvrid ei anna sellest teada. Lunavararünnaku ohvrite arv võib tunduda väike, aga lunavararünnaku mõju organisatsioonile saamata jäänud tulu ja mainekahju näol võib olla väga suur: Eestist on olemas näide, kus rünnakuga kaasnenud kogukulu ulatus miljonitesse eurodesse.

Lunavaraga nakatumine toimub kõige sagedamini järgmiselt:

  • E-kirja manuses sisalduv fail käivitab pahatahtliku koodi.
  • E-kirjaga saadetud lingid viitavad pahatahtliku sisuga dokumentidele.
  • Kasutatakse ära haavatavaid veebilehitsejaid või tarkvarakomponente.
  • Kasutatakse ära avalikke kaugtöölaua teenuseid nagu Remote Desktop Protocol (RDP), mille kaudu saadakse ligipääs ohvri süsteemile.

Lunavararünnakud kaugtöölaua protokolli (RDP) kaudu

Aastate jooksul oleme Eestis näinud, et tihti toimuvad lunavararünded läbi RDP (remote desktop protocol) ehk kaugtöölaua rakenduse kaudu, mis on internetis avalikult kättesaadav. Teine levinud variant on vananenud või uuendamata tarkvaraga võrguseadmed.

Need võivad olla seadmed, mis on juba jõudnud kasutusea lõppu ja millele ei pakuta enam turvauuendusi, või lihtsalt uuendamata tarkvaraga võrguseadmed. 2025. aasta esimese kolme kuuga registreeris RIA Eestis neli lunavararünnakut, mis suure tõenäosusega toimusid kõik just RDP vahendusel. RDP-ühendused on jätkuvalt populaarsed ründevektorid. Üksiküritajad ja rühmitused kaardistavad ööpäevaringselt küberruumi, et leida sealt avatud RDP-ühendusi ja üritavad nende kaudu tungida ohvri süsteemidesse. Samamoodi skaneeritakse ka turvanõrkuste tõttu ohus olevaid seadmeid.

Kuidas ennetada lunavararünnakut?

Kasuta VPNi ehk virtuaalset privaatvõrku. VPN annab lisakaitse, kuna selle taha pandud RDP pordid pole avalikult leitavad. Lisaks saab VPN-lahendusele lisada kaheastmelise autentimise, mis suurendab turvalisust veelgi. Vajadusel ja võimalusel võib kaaluda ka Zero Trust lahenduste (ZTNA) rakendamist.

Luba ühendus vaid kindlatelt IP-aadressidelt. RDP-ühenduse võimalust ei tohiks kindlasti pakkuda kõikidele, teisisõnu tervele maailmale, vaid ainult nendele IP-aadressidele, mida kasutavad töötajad või koostööpartnerid, kellele on vaja tagada ligipääs.

Kasuta kaheastmelist autentimist. Tavapärasest paroolist ja kasutajanimest tõhusama kaitse annab mitmeastmeline autentimine, mida on võimalik rakendada ka RDP-ühenduse puhul.

Kasuta unikaalseid turvalisi paroole. Ründajad kasutavat RDP kaudu ohvri arvutisse tungimiseks kas lekkinud paroole või jõurünnet. Vahel katsetatakse ka enamlevinud paroole, mis on internetis lihtsalt leitavad, näiteks: password, 123456, qwerty. 2 Kasuta pikki ja tugevaid paroole ning väldi nende korduvkasutust. Salasõnade loomiseks ja salvestamiseks on abiks paroolihaldur. Samuti tasub jälgida, et kasutajanimeks pole mõni üldlevinud nimi: user, admin, administrator vmt.

Piira ebaõnnestunud autentimiskatsete hulka. Kui seadistad teenusesse ligipääsemise nii, et näiteks 15 minuti jooksul saab pakkuda kolme parooli (juhul, kui autentimine toimub parooliga), muudad sellega jõurünnaku läbiviimise väga keeruliseks ja aeganõudvaks, kuid see ei päästa olukorras, kus parool on lekkinud.

Uuenda regulaarselt tarkvara. Veendu, et seadmete tarkvara on uuendatud. Kui seadmele enam ei pakuta turvauuendusi, siis tuleks see välja vahetada mõne uuema vastu. Ründajad kasutavad tihti just turvapaikamata tarkvara süsteemidesse ligipääsu saamiseks. Soovitame paigaldada turvauuendused esimesel võimalusel ja jälgida RIA blogi, kus avaldame igal nädalal infot olulisemate turvanõrkuste kohta. Näiteks tuli 2024. aasta oktoobris avalikuks turvanõrkus (CVE-2024-43533), mis võimaldab RDP vahendusel koodi kaugkäivitust.

Seadista ja jälgi logisid. Suuna RDP-logid kas eraldisesvasse logimislahendusse, teise Windowsi serverisse, SIEMi või muusse taolisse lahendusse. See aitab tagada, et eduka ründe korral logid säilivad ja neid saab hiljem analüüsida.

Seadista monitooring ja teavitused. Anomaaliate korral peaks monitooring saatma välja teavitused ja hoiatused, millele saaks kiirelt reageerida. Näiteks, kui kasutaja logib sisse piirkonnast, kus ta seda tavapäraselt ei tee, võiks monitooring juhtida sellele tähelepanu. Samuti tuleks jälgida õnnestunud ja ebaõnnestunud logimisi – see aitab rünnet ära hoida või seda kiirelt tuvastada.

Tee regulaarselt varukoopiaid ja testi neist taastatavust. Juhul, kui arvuti nakatub lunavaraga ning failid krüpteeritakse, on võimalik kahju ära hoida regulaarse varukoopia tegemisega. Varukoopia tegemisel on oluline veenduda, et varukoopia pole nakatunud arvutiga ühenduses selliselt, et ka varukoopia oleks võimalik ära krüpteerida. Hoia varukoopiat näiteks välisel kõvakettal, mis ei ole arvutiga ühendatud. Võimalusel testi regulaarselt varukoopiate taastatavust – varukoopia, millest ei ole võimalik midagi taastada, on kasutu.

Koolita töötajaid küberohtude teemadel. Koolitused võiksid hõlmata nii teoreetilist kui ka praktilist osa. Võimalusel võiksid organisatsioonid enda vastu teha ka reaalsete rünnete simulatsioone – see tähendab, et näiteks korraldatakse juhatuse nõusolekul ja teadmisel ettevõttele simuleeritud õngitsuskampaania. Õngitsuse tulemusi tuleks töötajatele esitleda koos praktiliste soovitustega ja rääkida, kuidas end selliste kampaaniate eest kaitsta. Samuti saab kasutada töötajate koolitamiseks RIA loodud Kübertesti, mis on eõppe koolituskeskkond.

Mida teha, kui oled langenud lunavararünnaku ohvriks?

Kui oled siiski lunavararünnaku ohvriks langenud, saad juhinduda järgmistest punktidest:

  • Juhtumi avastamisel eemalda kohe nakatunud seade võrgust (ära unusta juhtmevaba võrku).
  • Kui langesid lunavara ohvriks või kahtlustad, et saadud fail on pahatahtlik, teavita kindlasti CERT-EEd cert@cert.ee. Saame sind abistada. Saadud info annab meile ka parema ülevaate Eesti kübermaastikust ning oskame siis paremini teha ennetustööd lunavara ja teiste sarnaste intsidentide vältimiseks.
  • Juhul kui tahad ise sooritada esmase pahavaraanalüüsi, peab enne kettahõivet läbi viima mäluhõive (juhul kui süsteemi ei ole välja lülitatud).
  • Taastamine:
    • Harvadel juhtudel on võimalik mõne faili taastamine (näiteks Windowsi varjukoopiatest, tõmmistest või vigast krüpteerimist kasutanud lunavara puhul), kuid selle peale ei tasu lootma jääda.
    • Võimalusel jäta alles tegelik nakatunud seade, mille saad dekrüptori väljatulekul taas kasutusele võtta.
    • Nakatumise korral soovitab CERT-EE operatsioonisüsteemi tagavarakoopiast taastada või paigaldada tarkvara taasnakatumise vältimiseks uuesti. Enne tagavarakoopiast taastamist tuleb veenduda, et see pole samuti pahavaraga nakatunud.
  • Enne ründajatega ühendust võtmist kaalu hoolikalt riske. Pole garantiid, et lunaraha maksmisel dekrüpteerib kurjategija failid. Samuti saadab see kurjategijatele sõnumi, et nende tegevus on edukas ja nad võivad sind ka järgmine kord ohvriks valida.
  • Kasulikud lingid: