Igapäevased ööpäeva ülevaated
1. septembrist 2021 koostab CERT-EE igapäevaseid ülevaateid Eesti küberruumist. Ülevaade sisaldab ööpäevaga kogutud automaatseire andmeid ning tähelepanuväärsete küberintsidentide esialgseid lühikirjeldusi. Ülevaate eesmärk on näidata operatiivselt Eesti küberruumis toimuvat.
CERT-EE igapäevase uudiskirjaga liitumiseks saada e-kiri teemaga „Subscribe“ aadressile certnews [@] cert.ee. Liituda saab üksnes asutuse/organisatsiooni meiliaadressiga (st mitte Gmail, Hotmail vms).
Kui ajakirjanikel on intsidentide kohta lisaküsimusi, siis palume need saata press [@] ria.ee.
Ööpäeva ülevaated Eesti küberruumis toimunust
| Kuupäev | Kokkuvõte |
|---|---|
| 15.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 335 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 41 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kuus teenustõkestusrünnakut (DDoS). Üldjuhul oli nende mõju teenustele ja inimestele väike, kuid ühel juhul halvati L7 ründe abil ühe haridusvaldkonna veebilehe töö kuni tunniks ajaks. Lisaks avastati ka neli õngitsuslehte, mille abil prooviti inimeste meiliandmeid koguda. |
| 14.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 311 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 31 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kolm teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada viiest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Ühe Eesti kommertspanga kuvandit kasutades seati üles kaks internetipanka jäljendavat lehekülge, mille abil üritati koguda panga kasutajate andmeid. |
| 13.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 321 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 31 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Lisaks avastati ka üks õngitsusleht, mille abil prooviti inimeste meiliandmeid koguda. Eesti veebilehtede ja teenuste vastu sooritati seitse teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. |
| 12.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 305 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 40 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kuus teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada ühest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. |
| 11.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 325 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 32 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kümme teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada ühest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. |
| 10.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 350 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 27 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kuus teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli pigem väike. CERT-EE avastas ja sai teada kahest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Eesti haridusasutus andis CERT-EE-le teada, et küberkurjategijal õnnestus ilmselt kaugtöölaua protokolli (RDP) kasutades ligi saada nende ühele serverile. Esialgsetel andmetel ei põhjustanud kompromiteerimine kahju. |
| 9.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 364 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. CERT-EE avastas ja sai teada kuuest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Eesti veebilehtede ja teenuste, sh riigi pakutavate teenuste vastu sooritati kuus teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli pigem väike. |
| 8.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 338 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 20 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati viis teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli pigem väike. CERT-EE avastas ja sai teada kolmest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Eesti ettevõte teavitas CERT-EEd lunavararünnakust, mille käigus krüpteeriti andmed kokku kuues arvutis. Kuna ettevõttel on võimalik kõik seadmed taastada, siis peale töö ajutise seisaku muud märkimisväärset kahju ei tekkinud. |
| 7.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 324 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 32 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati üheksa teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. Ühe Eesti kommertspanga kuvandit kasutades seati üles internetipanka jäljendav lehekülg, mille abil üritati koguda panga kasutajate andmeid. Samuti teavitati CERT-EEd ühest meilikonto andmeid õngitsevast veebilehest. |
| 6.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 339 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 37 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati viis teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. |
| 5.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 358 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 27 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kaheksa teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada kolmest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. CERT-EE on saanud mitu teadet, et mõne päeva eest Atlassian Serveri ja Atlassian Data Centeri tarkvarades avastatud ning tootja poolt paigatud turvanõrkust (CVE-2021-26084) on hakatud ära kasutama. Palume eelnevalt nimetatud tooteid kasutavaid ettevõtteid paigata kohe need internetist ligipääsetavad teenused. Lisaks sellele on veelkord ühe Eesti kommertspanga kuvandit kasutades üles seatud internetipanka jäljendav lehekülg, mille abil üritati koguda panga kasutajate andmeid. |
| 4.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 314 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 27 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kaheksa teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada viiest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Eesti ühe ülikooli rektorit jäljendades ringleb e-kiri, mis sisaldab pahavara. Lisaks sellele on ka ühe Eesti kommertspanga kuvandit kasutades üles seatud internetipanka jäljendav lehekülg, mille abil üritati koguda panga kasutajate andmeid. CERT-EE sai eile esimese teate, et mõne päeva eest Atlassian Server ning Atlassian Data Center tarkvarades avastatud ning tootja poolt paigatud turvanõrkust (CVE-2021-26084) on hakatud ära kasutama. Palume eelnevalt nimetatud tooteid kasutavaid ettevõtteid paigata kohe need internetist ligipääsetavad teenused. |
| 3.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 351 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Seire käigus tuvastati ka 20 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kolm teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada viiest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Ühe Eesti kommertspanga kuvandit kasutades seati üles internetipanka jäljendav lehekülg, mille abil üritati koguda panga kasutajate andmeid. Samuti on teavitatud mitmetest juhtumitest, kus inimestele on helistatud ning helistaja on vene keeles tutvustatud ennast kui pangatöötaja ja on küsinud erinevaid küsimusi. |
| 2.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 343 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Automaatseire käigus tuvastati ka 39 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati neli teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada viiest õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Ühe Eesti kommertspanga kuvandit kasutades seati üles internetipanka jäljendav lehekülg, mille abil üritati koguda panga kasutajate andmeid. |
| 1.9.2021 | Riigi infosüsteemi ameti (CERT-EE) küberruumi seire tuvastas ööpäevaga 349 pahavaraga nakatunud veebilehte ja serverit, mis üritasid Eesti internetikasutajate seadmeid rünnata ja nakatada. Automaatseire käigus tuvastati ka 25 pahavaraga nakatunud seadet ning neist anti teada sideteenuse pakkujatele. Eesti veebilehtede ja teenuste vastu sooritati kolm teenustõkestusrünnakut (DDoS), kuid nende mõju teenustele ja inimestele oli väike. CERT-EE avastas ja sai teada neljast õngitsuslehest, mille abil prooviti inimeste andmeid koguda. Eile saadeti ühe Eesti kommertspanga nimel inimestele ja ettevõtetele e-kirju, millele on lisatud manusena arvutit nakatav ja arvutist andmeid varastav Lokibot pahavara. Sama kommertspanga kuvandit kasutades seati ülesse ka internetipanka jäljendav lehekülg, mille abil üritati koguda panga kasutajate andmeid ning teha makseid. |
Küberturvalisusega seotud mõisted
Ööpäeva ülevaates kasutatud mõistete selgitus.
Mõisted
Automaatseire
Automaatseire all peame silmas CERT-EE rahvusvaheliste partnerite kogutud informatsiooni Eesti küberruumis nähtud pahavara ja turvanõrkuste kohta, mis edastatakse automaatselt võrkude omanikele (näiteks internetiteenuse pakkujale või ettevõtetele). CERT-EE ei kontrolli automaatseire käigus kogutud teavet ise eraldi üle, vaid edastab partneritelt saadud andmed nii, nagu need meieni jõuavad. Infot pahavara, turvanõrkuste ja muude küberruumi anomaaliate kohta koguvad eraettevõtted, uurimisasutused ja valdkonnaspetsiifilised mittetulundusühingud suuremahuliste skänneerimiste käigus.
Arvepettus ehk BEC-skeem
Kui kurjategijal õnnestub sisse pääseda või häkkida ettevõtte töötaja e-posti kontole ning ta hakkab jälgima äripartnerite meilivestlust, et siis sinna õigel ajal sekkuda ja libaarveid saata, siis seda nimetatakse arvepettuseks või BEC-skeemiks (inglise keeles business e-mail compromise).
Mõnikord ei näe kurjategijad sellist vaeva, vaid proovivad veelgi lihtsamini raha kätte saada. Selle asemel, et inimeste kontosid ja ettevõtete servereid lahti murda, võivad nad saata ettevõtte esindajatele libakirju, kus on manuses partnerite arvetega äravahetamiseni sarnased maksekorraldused. Ainsaks erinevuseks võib olla kontonumber. Kuna rahvusvahelise makse sooritamiseks on teatud juhtudel vaja vaid kontonumbrit, siis sellisest väikesest muudatusest piisab.
DDoS ehk teenustõkestusrünnak
Teenustõkestusrünne ehk DoS (inglise keeles Denial of Service) on tahtlik teenuse häirimine. Seda saab tekitada süsteemi või võrguühendust üle koormates või süsteemi muul moel kahjustades. Hajutatud teenustõkestusrünnete (Distributed Denial of Service ehk DDoS) toimepanemiseks suunatakse konkreetset sihtmärki (näiteks veebileht) külastama suur hulk seadmeid: need võivad olla pahavaraga nakatunud arvutid, nutitelerid, kohvimasinad või muud nutikad seadmed. DDoS rünnetega koormatakse võrgus asuvad teenused või nende taga olev infrastruktuur sissetuleva võrguliiklusega üle. Umbes nagu üritaks 1000 inimest samal ajal ühest poeuksest sisse pressida.
Teenustõkestusrünnakut kirjeldav video:
Küberkuritegu
Küberkuritegudeks loetakse arvutikelmuseid ning arvutiandmete ja arvutisüsteemide konfidentsiaalsuse, tervikluse või käideldavuse vastu toimepandud kuritegusid. Küberkuriteod on erilised selle poolest, et rünnatakse infosüsteemi ennast, mitte ei kasutata seda vahendina inimese ründamiseks. Näiteks võltsveebilehe loomise või sotsiaalmeedias petukirja saatmise puhul on tegelikult tegemist kelmusega, mida viiakse läbi interneti vahendusel. Tihti on küber- ja teiste kuritegude vahelise piiri täpne tõmbamine keeruline, sest kurjategijad panevad oma lõppeesmärgi saavutamiseks toime mitu erinevat süütegu.
Küberkuriteost anna teada politseile https://cyber.politsei.ee/report »
Lunavararünnak
Lunavara on üks pahavara alaliike, mis muudab kasutaja arvutis (praegusel ajal juba ka nutiseadmetes) olevad failid kasutuskõlbmatuks ning nõuab nende tavapärase töö taastamiseks üldjuhul lunaraha virtuaalses krüptorahas.
Lunavara levitatakse nii e-kirjade, veebilehtede ja piraattarkvara abil, aga ka otse rünnatavasse süsteemi sissemurdmise kaudu. Sarnaselt õngitsuskirjadega kasutatakse ka lunavara sisaldavate kirjade puhul manipuleerivaid võtteid, et manus kindlasti avataks. Näiteks sisaldavad väga paljud lunavara manusega kirjad infot maksmata arve või muu finantstehingu kohta.
Lunavararünnakut kirjeldav video:
Andmete varundamist kirjeldav video:
Pahavara
Pahavara on tarkvara, mille eesmärk on ühel või teisel moel kasutaja seadmele kahju teha ja anda ründajale kontroll selle seadme üle. Näiteks kasutatakse pahavara selleks, et krüpteerida seadmes andmed ja nende avamise eest raha nõuda, kasutada arvuti jõudlust krüptoraha kaevandamiseks (mille saab endale loomulikult keegi teine), kasutaja seadmest infot varastada või liita seade robotvõrgustikuga, et seda hiljem rünnete läbiviimiseks ära kasutada. Pikka aega on liikvel olnud väärarusaam, et pahavara levib ainult e-kirjade kaudu. Pahavaraga saab nakatuda ka veebilehte külastades, piraattarkvara käivitades, pahatahtlikku mobiilirakendust alla laadides või ka tundmatuid mälupulki arvutisse ühendades juhul, kui arvutis on lubatud automaatkäivitus.
Tegevjuhi petuskeem
Tegevjuhi pettus ehk CEO pettus seisneb näiliselt tegevjuhi nime alt, vahel isegi "tema" meiliaadressilt, kirjade saatmises kas ettevõtte finantsjuhile või raamatupidajale (või töötajale, kes kodulehe andmetel võib olla seotud maksete teostamisega). Kirjade sisu on lühike ja konkreetne "Kas oled laua taga?" "Kas on võimalik teha kiiresti makse?" või "Kas saate teha rahvusvahelise pangaülekande täna?". Kui finantsjuht või raamatupidaja kirja saatjat ei kontrolli, võib ta petturile valele kontole raha üle kanda.
Sarnasel viisil on kasutusel ka palgakonto pettused, kus ründaja saadab mõne töötaja nime võltsides raamatupidajale kirja, et tema järgmine palk kantaks uuele kontole.
Kuidas kaitsta ettevõtte e-posti serverit:
Õngitsuslehed ja õngitsuskirjad
Õngitsuslehtede ja -kirjade eesmärk on varastada kasutaja isiklikke andmeid ja/või finantsinfot. Kirjad ja leheküljed näevad ohvri jaoks välja ehtsaga sarnased ja usaldusväärsed, mis peaks meelitama kirja saajat sisestama oma parooli või muid andmeid. Kui satud kirja kaudu sellisele lehele, kontrolli alati, kas veebiaadress on täht-tähelt seesama, mis peaks olema. Väga levinud on nii asutuse IT-teenistuse kui ka meiliteenuste nimel saadetavad õngitsuskirjad, mille eesmärk on kasutajainfo (kasutajanimi ja parool) kalastamine hilisemaks meilikonto kasutamiseks. Eesmärk võib olla selle meiliaadressi kaudu arvukalt õngitsuskirju levitada; teha finantspettuseid, näiteks krediidipakkumisi; saata reklaamposti või tegelik huvi töötaja postkasti sisu vastu.
Andmete kalastamist kirjeldav video:
Õngitsuslehed ja -kirjad:
Viimati muudetud: 15.09.2021