Küberpättide katse terviseasutuse arvutitesse pahavara sokutada kukkus läbi
/nginx/o/2019/10/22/12677631t1ha436.jpg)
25. oktoober 2020, 13:22
Riigi infosüsteemi ametile (RIA) laekub pidevalt teateid õngitsuskirjadest või pahavaraga nakatunud saadetistest. Küberkurjategijad kimbutavad ka Pärnumaa elanikke, siinseid asutusi ja ettevõtteid.
Sel nädalal teatas Pärnumaa tervishoiuasutus, et neile saadeti e-kirju, mille manused olid nakatatud viimasel ajal palju räägitud pahavaraga Emotet.
“Ajal, mil enamik infost on talletatud digitaalsetes keskkondades, võib küberrünnak täielikult peatada firma tegevuse,” tõdes RIA pressiesindaja Seiko Kuik.
Õnneks on siinse terviseasutuse küberkaitse Kuigi sõnul heal tasemel ja kirjade levik peatati. Kokku saadeti terviseasutuse aadressidele üle poolesaja pahavaraga nakatatud e-kirja.
“Möödunud aasta viimasel kuul sai RIA teateid ka kelmide libakirjadest, mis proovisid tervishoiuasutuse töötajatelt raha välja petta,” meenutas Kuik.
Ehkki Eesti ettevõtjate teadlikkus küberohtudest kasvab, ringleb endist viisi müüte, mis pärsivad tõese ettekujutuse teket küberrünnakutest ja nendega kaasnevatest ohtudest. RIA küberintsidentide käsitlemise osakonna CERT-EE juht Tõnu Tammer nimetas neli levinud müüti ja kummutas need.
Esimene müüt: ettevõtte küberturvalisuse parandamine on väga kulukas
Sageli usutakse, et ettevõtte küberturvalisuse taseme tõstmine nõuab meeletuid summasid. Ometi ütles Tammer, et suurt hulka Eesti firmadele rahalist ja mainekahju toovatest küberinstidentidest saab vältida ainuüksi töötajaskonna isiklikule küberhügieenile tähelepanu pööramise ja selgete protseduurireeglitega kahtlaste olukordade korral.
“Läbimõeldud investeeringud küberturvalisuse kasvu aitavad saavutada häid tulemusi, kuid lõpuks taandub kõik üksikisikule. Firmajuhi või töötaja hooletu suhtumine küberohutusse võib hetkega muuta tähtsusetuks senised investeeringud küberturvalisuse tõstmiseks,” ütles Tammer. Seetõttu peaks igas ettevõttes olema küberetikett võimalikult täpselt sõnastatud ja tuleb kontrollida selle järgimist.
Teine müüt: rünnatakse üksnes suuri ettevõtteid
Ehkki kõlapinda pälvivad üldiselt suuri ettevõtteid või organisatsioone tabanud küberrünnakud, pole kurjategijale ettevõtte suurus või tegevusvaldkond tegelikult oluline. Kurikaelad otsivad IT-lahenduste nõrku külgi ja kui need õnnestub tuvastada, teevad saadud teabe ruttu rahaks. Statistika näitab, et mida pisem on ettevõte, seda vähem tähelepanu pööratakse küberturvalisusele. Ometi langevad enamasti küberrünnakute ohvriks just väikesed ja keskmise suurusega ettevõtted.
“Paljud küberrünnakud on automatiseeritud. See tähendab, et kurjategija ründab samal ajal suurt hulka ettevõtteid. Ka neid, millele alles hiljuti nende väiksuse tõttu tähelepanu poleks pööratud,” selgitas Tammer ja lisas, et kurjategijad on olukorrast küberruumis hästi informeeritud ja teadmisi ettevõtjate küberkäitumisest kasutatakse pahatahtlikult ära.
“Enda töötajate, vara ja maine kaitsmiseks tuleb küberhügieeni parandamisele kindlasti tähelepanu pöörata. Rahvusvaheline praktika näitab, et väikestel ettevõtetel on ulatuslikest küberrünnakutest raske toibuda,” nentis Tammer, lisades, et halvimal juhul viib see firma tegevuse lõpetamiseni.
Kolmas müüt: ettevõtte madal küberturvalisuse tase teeb haavatavaks üksnes selle firma
Küberruumis tegutsemine jätab maha digitaalse jälje. Kurjategija jahib ettevõtteid, mille küberkäitumises on märgata ükskõiksust. Paraku tähendab see, et äripartneri hoolimatuse tõttu võib kahju kanda ka ettevõte, mis enda küberturvalisuse kasvu pidevalt panustab. Kahjuks pole sellised näited erandlikud.
“Küberruumis tegutsemine pole lineaarne ega vastastikmõjudeta. Seda ei saa võrrelda näiteks jõusaalis rassimisega, mille puhul raskuste tõstmine avaldab mõju üksnes treeniva inimese muskulatuurile,” selgitas Tammer ja julgustas ettevõtjaid enda koostööpartneritelt küsima, mida nad küberturvalisuse parandamiseks teinud on.
“Läbipaistvus ja ausus küberohutuse teemal võiks ettevõtjate seas saada normiks, peegeldades vastastikust lugupidamist. Ühtlasi aitab see kaasa Eesti ettevõtluskeskkonna ja küberruumi turvalisemaks muutmisele,” rõhutas Tammer.
Neljas müüt: küberrünnaku ohvriks langevad ja sellest teavitavad nõrgad firmad
Küberkuritegevuse eest pole kaitstud ükski ettevõtte. Seda kogevad nii ühe kui 1000 töötajaga firmad. “Küberkurjategijad muutuvad üha targemaks ja kavalamaks, otsides pidevalt uusi viise, kuidas ettevõtjatelt raha kätte saada, ja nendega on kimpus ka ettevõtluse suured nimed,” märkis spetsialist.
Teavitamine aitab Tammeri sõnutsi RIA-l paremini mõista, kuidas ettevõtteid rünnatakse, ja seeläbi parandada ennetustööd või abi osutamise kvaliteeti. “Küberrünnakutest teavitajad aitavad muuta Eesti küberruumi turvalisemaks ja väärivad tunnustust. Vahetu tagasiside aitab teisi Eesti ettevõtteid paremini kaitsta ja vajadusel aidata,” märkis Tammer.
Kui ettevõte või inimene on küberrünnaku ohvriks langenud, tuleb sellest teada anda politsei veebilehel cyber.politsei.ee ja RIA meiliaadressil cert@cert.ee.
Mis on Emotet?
Pahavaraga nakatunud arvutist varastatakse e-postkasti aadressiraamat ja saadetakse kurjategijatele. Samuti võetakse postkastist juhuslikud meilivestlused ja robotvõrgustik edastab need uuesti nii vestluse osalistele kui ka sadadele teistele kontaktidele, kaasas pahavara sisaldav manus või link.
Peale seadme nakatumisest tekkinud otseste probleemide võib Emotetiga nakatunud ettevõte sattuda olukorda, kus tema valduses isikuandmed ja meilivestlused hakkavad küberruumis kontrollimatult levima.
Emotet saab levida Windowsi operatsioonisüsteemiga arvutites ja seda levitatakse peamiselt e-kirjadele lisatud dokumentide, harvem linkide kaudu. Kirja sisu on tihti lakooniline ingliskeelne teade “Please confirm” (“Palun kinnita(ge)”, toim) või “I would like to seek your advice on this” (“Soovin sinult/teilt nõu selle kohta”, toim). Mõnel juhul on e-kirja sisu varasem vestlus, mis lihtsalt koos manusega uuesti saadeti.
Tegu on tüüpilise Wordi laiendiga failiga nagu .docx ja .doc, mille avamisel tuleb ette kiri, et dokumendi sisu ei ole võimalik näidata ja programm võib vajada uuendamist.
Pahavara jõuab kasutaja arvutisse, kui ta teeb veel ühe kliki ja annab makrodele loa. Ingliskeelne Word küsib kasutajalt “Enable editing” ja “Enable content”, eestikeelne “Luba redigeerimine” ja “Luba sisu”.
Klikkides lubamise nupule, nakatub arvuti Emoteti pahavaraga, kusjuures seadme kasutaja ei märka nakatumist. Pahavara muudab ja täiendab ennast aga pidevalt: CERT-EE on saanud teateid ka parooliga kaitstud zip-failidest, mis sisaldavad MS Wordi faili ja Emoteti.
Kuidas end selle eest kaitsta?
Kui saate tuttavalt inimeselt või asutuselt e-kirja, millega on kaasas ootamatu manus või link, ärge avage seda! Eriti ettevaatlik tuleb olla, kui kaasas olev fail nõuab avamiseks veel mõne kliki tegemist.
Kui saate e-kirja, mille sisu ei tundu päris päevakohane, võib olla tegu pahavaraga. Kui tekib kahtlus, informeerige kirja saatjat. Kui olete faili või lingi kogemata avanud, pöörduge kohe oma asutuse IT-toe poole ja teavitage juhtunust CERT-EE-d (cert@cert.ee).
Kuna Emotet levib praegu väga aktiivselt, soovitame ettevõtetel üle vaadata ja vajadusel karmistada infoturbemeetmeid. Oma IT-partneri ja teenusepakkujaga tuleks läbi arutada järgmised küsimused:
- milliste meetmetega tõkestatakse pahavaraliiklust ettevõtte võrkudes;
- kuidas aru saada, et andmed on varastatud;
- kuidas vältida ja tuvastada nakatumisi nende teenuste puhul, millele töötajad saavad ligi oma isiklikest seadmetest.