Lunavararünnak on üks ebameeldivamaid küberrünnaku vorme, kuna see võib seisata organisatsiooni töö ja seada ohtu isikuandmed. Kuigi globaalselt lunavararünnakute arv ja nendest tulenev kahju 2024. aastal kasvasid, räägivad meile teadaolevad andmed Eesti kohta teist keelt. CERT-EE registreeris kümmekond lunavarajuhtumit, mis on vähem kui varasematel aastatel. Seejuures tuleb arvestada, et suur osa ohvritest ei teavita meid.
Kaks kooli, kaks erinevat lugu
2024. aastal said lunavararünnakutega pihta kaks Eesti kooli.
Tallinna Tervishoiu Kõrgkool pidi juuni alguses – eksamiperioodil, mil koolipersonalil on niigi käed-jalad tööd täis – hakkama võitlema rünnaku tagajärgedega. Ründaja krüpteeris kooli serveris ligi pooleteise terabaidi jagu andmeid, sealhulgas enam kui 200 töötaja ja tudengi faile.
Õnneks oli koolil olemas värske varukoopia, mille abil õnnestus failid ja teenused järgmiseks päevaks taastada.
Kaks nädalat enne uue kooliaasta algust, 16. augustil avastasid Järvamaa Kutsehariduskeskuse töötajad, et kooli kõikides serverites olevad andmed on krüpteeritud.
Selle rünnaku põhjustatud kahju oli aga suurem, kuna andmetest polnud varukoopiat.
Rünnakud, mis peatasid ettevõtete töö
Juuli lõpus tabas lunavararünnak Tartus tegutsevat väikeettevõtet. Selle käigus krüpteeris pahavara failid neljas arvutis. Ettevõtte tavapärane töö katkes.
Umbes nädal hiljem seiskas andmeid krüpteeriv pahavara töö ühes Lõuna-Eesti jaekaubandusettevõttes. Seal pääsesid ründajad ligi ka varundusserverile, mistõttu ei saanud andmeid varukoopiast taastada.
Novembri esimesel päeval tabas lunavararünnak hambaravikliinikut. Ka selle andmeid polnud võimalik taastada, kuna puudus toimiv varukoopia.
Miks sellised rünnakud juhtuvad?
2024. aastal toimunud lunavararünnakute põhjuseid analüüsides kerkivad esile RDP ehk kaugtöölaua rakenduse ning võrguseadmetega seotud haavatavused.
Peaaegu igal kolmandal juhul tungisid ründajad süsteemi läbi kaugtöölaua rakenduse, kus kasutati nõrku paroole ja kus puudusid täiendavad turvameetmed nagu VPN, kaheastmeline autentimine, IP-põhised piirangud, logimine ja monitooring.
Nende juhtumite valguses soovitame RDP kasutajatel lugeda RIA kodulehel olevat ohuhinnangut, kus kirjutame kaugtöölaua protokolliga kaasnevatest riskidest ja nende maandamise võimalustest:
2024. aastal langes mitu organisatsiooni lunavararünnaku ohvriks, kuna nende võrguseadmed olid vananenud, tarkvara uuendamata või haldusliides turvaliselt seadistamata.
Ühel juhul oli internetis avalikult kättesaadav võrguseadme haldusliides ja muutmata vaikimisi administraatoriparool, samal ajal ootas serveri tarkvara uuendamist.
Teisel puhul oli kasutuses ruuter, mille tarkvaras oli ammu teada turvanõrkus, kuid seadme tootja lõpetas turvauuenduste väljastamise juba 2022. aastal. Sellisel puhul tuleks soetada uus seade. Mõne ostuga viivitamine võib väga kalliks maksma minna.
Nakatumise viis selgusetu
Mitmel juhul jäi täpne viis, kuidas lunavara süsteemi sattus, selgusetuks.
Sageli on teadmatuse põhjuseks logide puudumine.
Vahel kustutavad kurjategijad oma jälgede varjamiseks logid, aga pahatihti ei pea nad sedagi tegema, sest logisid lihtsalt pole.
Kui pole teada, kuidas ründajad süsteemi tungisid, võivad kutsumata külalised sama ukse kaudu peagi naasta.
Mida teha, kui oled langenud lunavararünnaku ohvriks?
- Eemalda nakatunud seade võrgust (ära unusta juhtmevaba võrku).
- Teavita CERT-EEd ([email protected]), kes juhendab intsidendi lahendamisel ja annab soovitusi, kuidas end edaspidi selliste rünnete eest kaitsta.
- Nakatumise korral tasub operatsioonisüsteem taastada tagavarakoopiast või paigaldada see taasnakatumise vältimiseks uuesti. Enne tagavarakoopiast taastamist tuleb veenduda, et see pole pahavaraga nakatunud.
- Enne ründajatega ühenduse võtmist kaalu riske: pole garantiid, et lunaraha maksmisel dekrüpteerib kurjategija failid või ei avalda varastatud andmeid. Samuti saadab see kurjategijatele sõnumi, et nende tegevus on edukas ja nad võivad sind ka järgmine kord ohvriks valida.
Kuidas ennetada lunavararünnakut?
- Uuenda tarkvara ja kasuta vaid tarkvara, millele väljastatakse turvauuendusi.
- Piira süsteemi kasutajate õigusi ja vähenda seadmeid, mis saavad ligi organisatsiooni süsteemidele.
- Kasuta tugevaid paroole ja kaheastmelist autentimist.
- Piira ebaõnnestunud autentimiskatsete arvu.
- Seadista ja jälgi logisid.
- Tee regulaarselt varukoopiad, hoides üht varukoopiat alati offline-režiimis.
- Seadista veebi- ja meililüüsides logimine ning blokeeri või pane juba lüüsis karantiini kõik dokumendid, mis sisaldavad käivitatavaid faile, konteineriformaate ja muid failiformaate, mis võivad potentsiaalselt sisaldada aktiivsisuga faile.
- Koolita töötajaid küberohtude teemal.
Viimati uuendatud 03.02.2025
