- Perearstikeskus langes lunavararünde ohvriks. Detsembri alguses tabas Cloudflare’i süsteeme rike, mille tulemusel olid mitmed veebilehed ja -teenused Eestis ja mujal maailmas kättesaamatud.
- Käisime Algorütmi podcast'is rääkimas Eesti küberruumis toimuvast. Viisime läbi erinevaid koolitusi ja toimus järjekordne RIA CyberMeetUp. Avaldasime koostöös PPAga pressiteate 1500 inimese kohta, kes on andnud oma PIN-koodid petturitele.
- Ühendkuningriik kehtestas sanktsioonid kahele Hiina tehnoloogiaettevõttele. Nii Saksa valitsus kui ka Taani luureteenistus kinnitasid, et neid tabanud küberrünnete taga olid Vene päritolu rühmitused. Sydney ülikooli koodivaramus olnud andmed lekkisid. Rumeenia riiklikku veetaristut haldavat ettevõtet tabas lunavararünne.
CERT-EE-le teavitatud intsidendid, millel oli mõju andmete või infosüsteemide konfidentsiaalsusele, terviklusele või käideldavusele.
Automaatseire käigus tuvastatud seadmed Eesti küberruumis, mis on pahavaraga nakatunud. CERT-EE teavitab nakatumistest võrkude omanikke. Hüppelise tõusu taga on Badbox 2 robotvõrgustikuga nakatunud iOT-seadmed, Eesti kontekstis peamiselt digiboksid.
Petulehed moodustavad suurema osa CERT-EE registreeritud intsidentidest.
Olukord Eesti küberruumis
1. detsembril teavitas üks perearstikeskus, et on langenud lunavararünnaku ohvriks. Selle käigus krüpteeriti andmed kahes serveris ja ka varukoopiad. Värskeim varukoopia, millele ründajad ligi ei pääsenud, oli aastast 2021. Krüpteeritud serveris olid patsientide andmed, terviselood ja vastuvõtuajad, mistõttu halvas rünnak perearstikeskuse töö. CERT-EE suutis taastada osa krüpteeritud andmetest.
5. detsembril tabas Cloudflare’i süsteeme rike, mille tulemusel olid mitmed veebilehed ja -teenused Eestis ja mujal maailmas kättesaamatud. Kokku oli mõjutatud ligikaudu 28% Cloudflare’i kaudu liikuvast internetiliiklusest. Eestis kestsid tõrked umbes 20 minutit, kättesaadavad polnud paljud avaliku sektori veebilehed, mh valitsuse, riigikogu ja politsei oma. Samuti ei saanud kasutada Bolti veebilehte ega rakendust ning riiklikku autentimisteenust TARA. Cloudflare’i katkestuse põhjuseks polnud rünnak, vaid nende endi poolt virtuaalses tulemüüris tehtud muudatus seoses hiljuti avastatud turvanõrkusega, mis aga tõi kaasa tehnilise tõrke.
9. detsembril rünnati ühe vallavalitsuse valve- ja pääsusüsteemide serverit. Serverile saadi ligi teenusepakkuja konto kaudu, mis võeti õngitsuse teel üle. Kompromiteeritud konto suleti mõne minuti jooksul ja meile teadaoleva info põhjal ei jõudnud ründajad olulist kahju põhjustada.
10. detsembril ajavahemikul 12.12 kuni 12.39 oli tõrkeid Politsei- ja Piirivalveameti (PPA) isikutuvastus- ja menetlusinfosüsteem UUSIS töös. Seetõttu oli häiritud kõigi PPA esinduste töö. Lisaks isiku tuvastamisele ja õigusliku staatuse määramisele kasutab PPA seda süsteemi isikut tõendavate dokumentide väljastamisel ja migratsioonijärelvalve menetlustes. Tõrgete põhjuseks oli serverite ülekoormus.
12. detsembril ajavahemikul 9.15 kuni 13.01 ei toiminud veebilehtedel elron.ee ja pilet.ee rongipiletite müük ega sõiduplaanide otsing. Katkestuse põhjustas tõrge piletimüügikeskkonda haldava ettevõtte Ridango süsteemides.
17. detsembril ajavahemikul 17.35 kuni 17.52 oli häireid RIA teenuste töös, sealhulgas olid mõjutatud riigiportaal eesti.ee, riiklik autentimisteenus TARA ja X-tee. Tõrked algasid pärast andmekeskuses tehtud muudatust ja nende põhjuseks oli seadistusviga.
Kahjuks ei olnud ka jõulukuul näha pettuste vaibumist. Ka sel kuul esines massiliselt petukõnesid, mis tehti näiteks Elektrilevi, Päästeameti, pankade, politsei, kohtute ja kullerifirmade nimel. Skeem algab tavaliselt sellega, et kasutajale väidetakse, et tal on vaja mõni tehing (nt elektriarvesti vahetus või paki kättesaamine) kinnitada PIN-koodi abil. Kui kasutaja seda teeb, siis toimub järgmine kõne juba näiliselt panga või politsei nimel, kes teavitavad ohvrit kahtlastest tehingutest tema pangakontol. Mitmete kõnede tulemusel suudetakse kasutaja viia seisundisse, kus ta sisestab ise oma PIN-koode mitmel korral ja selle tulemusel saadakse ligipääs pangakontole. Soovitame jätkuvalt kahtlased telefonikõned koheselt lõpetada ja PIN-koode mitte sisestada ka siis, kui keegi selleks survet avaldab. Võta aega ja aruta kahtlane telefonikõne mõne lähedasega läbi, eriti juhul kui telefoni teel mõjutatakse infot salajas hoidma.
RIA tegevused küberturvalisuse parandamisel Eestis
Politsei- ja Piirivalveameti ning meie hinnangul on ligi 1500 inimest kelmide manipulatsiooni tulemusena andnud ligipääsu oma eesti.ee kontole. Tegemist ei ole andmelekke ega turvanõrkusega, vaid inimesed ise on sisestanud petturite manipulatsiooni tulemusena oma PIN1-koodi ja andnud sellega mainitud ligipääsu. Kelmide eesmärk oli kasutada kontodelt saadavaid andmeid ohvritega usalduse loomiseks ja raha väljapetmiseks. Teavitasime mõjutatud inimesi riikliku postkasti kaudu personaalselt. Loe täpsemaid juhiseid meie kodulehelt ja kui oled samuti pettuse ohvriks langenud, anna sellest teada e-posti aadressil [email protected] ning lisa koopiasse ka CERT-EE [email protected].
10. detsembril toimus selle aasta viimane RIA CyberMeetUp. Sel korral tegid ettekanded Joseph Carson (Segura), Tiia Sõmer (Nortal/Taltech) ning Anni Aleksandrov ja Kaisa Lindenburg (RIA). Osalejad said ülevaate häkkimisest ja sellest, kuidas õnnestub kurjategijatel erinevaid pettusi läbi viia ning inimloomust mõjutada. Lisaks tegid RIA töötajad ülevaate Innovatsioonitoetusest küberettevõtetele ja tutvustasid üritust Connect4Cyber. CyberMeetUpi salvestusi saab vaadata YouTube'ist. Järgmine RIA CyberMeetUp toimub 22. jaanuaril.
RIA Analüüsi- ja ennetusosakonna analüütik Helena Jürgenson käis Algorütmi podcast'is rääkimas, mis Eesti küberruumis toimub. Helena tutvustas hetkel liikvel olevaid petuskeeme ning rääkis, kes teevad petukõnesid ja mis motiivid nende taga on. Kuula Algorütmi taskuhäälingut.
Käisime erinevates asutustes ja ettevõtetes rääkimas küberhügieenist ja hetkel levivatest pettustest. Näiteks jõudsime detsembris koolitada ettevõtte Rakvere Vesi ja Rakvere linnavalitsuse töötajaid ning Tallinna Saksa Gümnaasiumi õpilasi.
Detsembris algas Taani eestvedamisel projekt, mille eesmärk on tugevdada küberohtude alast infovahetust Põhjala ja Balti riikides. Põhjala-Balti Küberkonsortsium (Nordic-Baltic Cyber Consortium ehk NBCC) keskendub küberohuteabe analüüsile ja infovahetusele, et paremini avastada ja ennetada küberrünnakuid. Projektis osalevad Islandi, Soome, Norra, Eesti, Leedu ja Läti küberturvalisuse eest vastutavad ametiasutused.
Avaldasime RIA blogist kaks uut postitust. Esimeses räägime kogemusloo, kuidas RIA analüütik sai internetis ostu tehes petta. Anname ka lugejale soovitused, kuidas pettuseid ära tunda ja vältida ning mida teha siis, kui oled pettuse ohvriks langenud. Teises postitutes tuletame meelde, kui oluline on oma PIN-koode vaid enda teada hoida.
Rahvusvaheline olukord
Ühendkuningriik kehtestas sanktsioonid kahele Hiina tehnoloogiaettevõttele, mis on korraldanud küberründeid Ühendkuningriigi ja veel paljude riikide valitsusasutuste ja eraettevõtete vastu. Sanktsioneeritud ettevõtted on Sichuan Anxun Information Technology Co. Ltd, tuntud rohkem kui i-Soon, ja Integrity Technology Group. Viimast süüdistatakse varjatud võrgustiku loomises ja tehnilise abi osutamises teistele küberrünnete toimepanijatele. UK küberjulgeolekukeskuse hinnangul toetab Hiina küberökosüsteem, mille osa on ka eraettevõtted, Hiina riiklikke küberoperatsioone. Samuti kehtestas UK valitsus sanktsioonid Vene meediaettevõttele Rybar, mida süüdistatakse valeinfo levitamises ja teiste riikide valimistesse sekkumises.
Saksa valitsus teatas, et on leidnud kindlaid tõendeid Vene riikliku taustaga ohustaja APT28 seotusest küberrünnetega Saksa lennuliikluse juhtimiskeskuse vastu 2024 augustis. Ründajatel õnnestus siis tungida keskuse kontorivõrku, lennuliikluse juhtimine ohus ei olnud. Samuti süüdistab Saksa välisministeerium Moskvat katsetes valeinfoga mõjutada ja destabiliseerida Saksamaa viimaseid föderaalseid valimisi. Saksamaa hinnangul on Venemaalt lähtuvad hübriidohud tõusmas ning väljenduvad nii küberrünnete, desinfokampaaniate kui ka muude riiklikku julgeolekut ohustavate tegevustena.
Augustis tabas finantstehnoloogiaettevõtet Marquis küberrünnak, mille käigus varastati ka isikuandmeid. Marquis pakub teenuseid sadadele pankadele ja krediidiasutustele USAs. Nüüdseks on teada, et andmeleke mõjutas vähemalt 780 000 inimest, kellest kõik saavad ka personaalse teavituse. Lekkisid inimeste nimed, aadressid, sotsiaalkindlustusnumbrid, sünniajad ja osaliselt ka krediitkaardinumbrid. Ettevõtte sõnul toimus rünnak tänu turvanõrkusele SonicWalli tulemüüris.
Taani luureteenistus avalikustas detsembris, et 2024. aasta lõpus toimunud küberründe kohaliku vee-ettevõtte vastu viis läbi Vene häktivistide rühmitus Z-Pentest. Ründega manipuleeriti veesurvet, mistõttu lõhkes Kopenhageni lähedal kolm veetoru ning 50 majapidamist olid seitse tundi veeta. Teist rühmitust, NoName057(16) seostatakse novembris toimunud kohalike valimiste eel mitmete Taani veebilehtede vastaste ummistusrünnete korraldamises. Taani luureteenistuse hinnangul on mõlemal häktivistide rühmitusel seoseid Vene riigiga.
Sydney ülikool andis teada, et nende infosüsteemist on lekkinud ligikaudu 27 500 endise ja praeguse töötaja, tudengi ja vilistlase isikuandmed. Andmed lekkisid koodivaramust, kus säilitati ka vanu andmefaile aastast 2018. Ehkki andmete ebaseaduslik mahalaadimine on kinnitust leidnud, ei ole praeguse seisuga teada, et neid oleks kuritarvitatud. Ülikool on lubanud kõigile mõjutatud inimestele saata ka personaalsed teavitused.
Jõulueelsel nädalavahetusel tabas lunavararünnak Rumeenia riiklikku veetaristut haldavat ettevõtet Romanian Waters. Riigi küberjulgeolekukeskuse teatel olid ründe tõttu rivist väljas üle 1000 serveri ja tööjaama nii keskkontoris kui ka kümnes regionaalses harukontoris. Ettevõtte sõnul ei puudutanud rünnak käidutehnoloogiat (OT) ning hüdrotehnilised tööd toimisid, aga neid koordineeriti telefoni ja raadioside teel. Esialgsetel andmetel kasutasid ründajad Windowsi enda krüpteerimistööriista BitLocker.
Viimati uuendatud 07.05.2026
