Kas oled valmis veetma puhkuse lunavara seltsis?

 

Viirusetõrje vajadusest on räägitud nii palju, et sageli ei taheta sellest enam midagi kuulda, kuid järgnev lugu elust enesest näitab ilmekalt, et sugugi mitte kõik ei ole seda juttu kuulda võtnud, kirjutab Datafoxi infoturbe juht Janar Randväli.

 

Mõtlesin, et kirjutan, kuidas mul esimene puhkusepäev on läinud… Hommikul tuli kõne kolleegilt, et ole hea, helista palun kliendile, tal on mingi mure krüptoga. Arvasin esmalt, et tal on probleem krüpteerimistarkvaraga, ent telefonikõne käigus selgus, et hoopis kogu tema virtuaalserver on lunavaraga ära krüpteeritud. Täpselt nii lihtsalt see käibki!

 

Mis siis juhtus?

Meie serveripinna kasutajal on omakorda oma kliendi sisevõrgus server, mida hallatakse krüpteeritud kanalit tekitava VPNi (Virtual Private Network) kaudu. Vaatamata meie meeldetuletustele polnud virtuaalserverisse pahavara kaitset paigaldatud. Ühel päeval VPN-ühendus ei toiminud ning kliendi juures asuvat serverile polnud võimalik kaugelt ligi pääseda. Kuna tööd oli vaja teha, tehti korraks kaugtöölaua protokoll (RDP) maailmale lahti seniks, kuni asjad tehtud ja VPN-ühendus jälle tööle saadakse. Nende loetud tunnid olid piisavad, et edukas küberrünne teha.

 

Esiteks varastati kogu virtuaalserveris olev andmestik, sealhulgas kasutajatunnused ja paroolid. Teiseks külvati pahavara edasi süsteemi halduseks kasutatavatesse arvutitesse, et end sealtkaudu edasi järgmistesse kohtadesse levitada. Seejärel nakatati süsteem lunavaraga, krüpteeriti virtuaalserveri sisu ning nõuti andmete lukust lahtikeeramise eest raha. Viimasena võib eeldata, et serverist leitud paroolid ja muud andmed on juba musta turul müüki pandud. 

 

Kuidas sellist juhtumit lahendada?

Olgu kohe alustuseks öeldud, et ründajale ei tohi mingi juhul maksta. Nakatanud seade tuleb eraldada võrgust. Nakatanud seadme kettast ja mäluhõivest tasub teha koopiad ründe edasiseks uurimiseks. Seejärel võimalik kontrollida usaldusväärsetelt veebilehtedelt, millise pahavaraga rünnak toime pandi ning kas dekrüpteerimisvahend sellele on juba olemas. Kui hetkel seda ei ole, tasub lukku keeratud kõvaketas alles hoida lootuses, et mõne aja pärast on loodud ka vahend andmete dekrüpteerimiseks.

 

Andmed tuleb taastada varukoopiast, mis antud kliendil ka olemas oli ning ta halvimast päästis.

Seejärel tuleb muuta kõik paroolid ja aktiveerida mitmeastmeline (MFA/2FA) autentimine.

 

 

Mida meil on sellest juhtumist õppida?

  • Haldusliideseid ei tohi kunagi teha ega jätta võrgus avatuks. See oli antud juhtumi juurpõhjus, mille tulemusel varastati ka kliendi klientide andmed.
  • Kõikidel kontodel peab olema aktiveeritud mitmeastmeline autentimine (MFA/2FA), mida antud juhul polnud tehtud. Kui mitmeastmelist autentimist ei saa mingil põhjusel rakendada, tuleb kasutada eraldi autentimiservereid.
  • Kõik võrgus olevad seadmed peavad olema kaitstud pidevalt uuendatava ning keskselt hallatava paha- ja lunavaratõrjega, mis oleks ka antud juhul hoidnud ära suurema kahju. Oluline on kaitsta kõiki seadmed, sest rünnata saab näiteks ka testserverite kaudu, kus kasutatakse sageli samadega paroolidega kontosid, mis live-süsteemis. Kui saavad pihta süsteemi haldamiseks kasutatavad arvutid, siis püüab pahavara levida ka kõigile võrguketastele, kuhu neist arvutitest ligipääs on jne.
  • Andmeid tuleb pidevalt varundada ning varukoopiad peavad olema eraldi võrgus ja soovitavalt ka teises füüsilises asukohas tavasüsteemidest eraldi, et rünnaku korral ei kaotataks mõlemaid. Antud juhul oli toimiv varunduslahendus olemas ning see päästis päeva. Üle tuleb vaadata ka varundusreeglid. Kui varundatakse ainult muudetud ja lisandunud faile (incremental), võib vabalt juhtuda, et lunavararünde korral krüpteeritakse ka varukoopiad. Seetõttu on oluline teha ka täielikke backup’e ning hoida kriitiliste andmete varukoopiad võimalusel võrguühenduseta andmekandjatel.
  • Kogu süsteemi tuleb pidevalt uuendada turvapaikadega, mida selles juhtumis ei tehtud.
  • Ideaalne oleks võrgu, seadme ja tulemüüri tasemel monitooring ning IDS/IPS (Intrusion Detection System/(Intrusion Prevention System) funktsionaalsuse kasutamine, et tuvastada ning tõkestada ründed võimalikult vara.

 

Hinnanguliselt kuus korda minutis püütakse maailmas rünnata lunavaraga mõnd arvutisüsteemi ning Eestis keeratakse nädalas keskmiselt ühe ettevõte andmed lukku. Seni aga, kui eelpool kirjeldatu ei juhtu kellegi tuttavaga, on see üksnes statistika ning paljud ei mõtle siiani küberrünnakute ennetamise peale. Kuidas selle tööga pihta hakata, saad lugeda siit ning lihtsatest meetmetest küberriskide maandamisel siit.

 

 

 

 

Võta meiega ühendust:

Janarymmargune2020

 

Janar Randväli
Infoturbe juht 

[email protected]

 

 

 

 

Loe lisaks:

Arvutitöökoht teenusena kogub populaarsust

Südasuviselt kuum teema: kuidas automatiseerida puhkuste korraldust?