Uzņēmumiem jāpiedomā par drošību internetā. "CERT.LV" speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem jūnijā. Kādus kiberuzbrukumus ņemt vērā?
Krāpšana
Laika posmā no 1. līdz 15. jūnijam Valsts policijas Zemgales reģiona pārvaldē tika saņemti 17 iesniegumi no iedzīvotājiem, kuri cietuši no dažādiem krāpniekiem internetā vai pa tālruni. Visbiežāk noziedznieki uzdevās par dažādu banku darbiniekiem, un pārliecināja lietotājus nosaukt savus bankas konta piekļuves datus. Rezultātā noziedzniekiem izdevās izkrāpt ievērojamas naudas summas. Otrs populārākais krāpšanas veids jūnijā bija krāpnieku izlikšanās par loģistikas uzņēmuma pārstāvjiem, kā rezultātā ar pikšķerēšanas vietnes starpniecību no Latvijas iedzīvotājiem izdevās izkrāpt vairāk kā 2500 eiro.
Šantāžas e-pastu uzplaiksnījums
Jūnija sākumā pēc ilgāka pārtraukuma tika novērots jauns izspiešanas e-pastu vilnis (dēvēts par "sextortion"), šoreiz krievu valodā. Tika saņemti satraukti ziņojumi no lietotājiem par e-pastiem, kuros tiek draudēts izplatīt kompromitējošus materiālus lietotāja kontaktiem, ja e-pasta saņēmējs neveiks maksājumu. "CERT.LV" informēja lietotājus, ka tā ir krāpniecība, nekāda kompromitējošā materiāla nav, un aicināja šos e-pastus ignorēt.
Krāpnieki arī vasarā uzglūn WhatsApp lietotāju kontiem
Jūnijā tika saņemti ziņojumi no vairākiem lietotājiem par nozagtiem (vai gandrīz nozagtiem) "WhatsApp" kontiem. Lietotāji šķietami no paziņas vai tuvas personas (kuras konts iepriekš ticis kompromitēts) saņēmuši ziņu, ka šī persona kļūdas pēc uz lietotāja telefona numuru nosūtījusi SMS ar sešu ciparu kodu. Tālāk tika lūgts šo kodu steidzami atsūtīt atpakaļ. Patiesībā sešu ciparu verifikācijas kods domāts, lai ļaundaris varētu pārnest lietotāja "WhatsApp" kontu uz citu ierīci/numuru.
Uzzini, kas apmeklē Tavu Facebook profilu
Jūnija beigās krāpnieki "Facebook" platformā eksperimentēja ar lietotāju ziņkārības līmeni jeb vairāki lietotāji tika "ietagoti" pie ziņas ar virsrakstu "Uzzini, kas apmeklē Tavu "Facebook" profilu". Atverot ziņu, tā tālāk lietotāju aizveda uz pikšķerēšanas vietni, kurā tika lūgts autentificēties, lai aplūkotu minēto statistiku. Ievadot savus "Facebook" piekļuves datus pikšķerēšanas vietnē, lietotājs zaudēja kontroli pār savu "Facebook" kontu.
Ļaunatūra un ievainojamības
Jūnija sākumā ar "CERT.LV" sazinājās vairāki Latvijas uzņēmumi, kas cietuši šifrējošā izspiedējvīrusa "Makop" uzbrukumos. Uzbrukumu rezultātā tika sašifrētas uzņēmumu darbstacijas, serveri un datu bāzes. Tā kā vairumam uzņēmumu bija korekti izveidotas datu rezerves kopijas, tad atgūšanās no uzbrukuma noritēja veiksmīgi. "CERT.LV", analizējot pieejamos informācijas fragmentus un atrodot kopsakarības starp incidentiem, secināja, ka visticamāk sākotnējais uzbrucēju mērķis ir bijis kāds pakalpojuma sniedzējs, kurš apkalpojis visus cietušos uzņēmumus. Ļaundari, izmantojot RDP (Remote Desktop Protocol) savienojumu, izplatīja vīrusu no šī pakalpojuma sniedzēja tālāk uz klientu iekārtām. "CERT.LV" informēja minēto pakalpojuma sniedzēju par konstatētajām kopsakarībām un aicināja pārbaudīt savas iekārtas.
Windows servisa "Print Spooler" ievainojamības
"Microsoft" 8. jūnijā publicēja atjauninājumus Windows servisa "Print Spooler" (CVE-2021-1675) ievainojamībai, kas ļauj uzbrucējiem paaugstināt piekļuves tiesības (LPE), kā arī laterāli izplatīties Active Directory ietvaros. Savukārt 30. jūnija nejauši tika atklāta jauna, līdzīga ievainojamība (CVE-2021-34527), kurai atjauninājumi kādu brīdi nebija pieejami.
E-pasts latviešu valodā no Saūda Arābijas – pielikumā vīruss
Jūnijā pēc svētkiem tika saņemti vairāki ziņojumi gan no uzņēmumiem, gan privātpersonām par aizdomīgu e-pastu, kas sūtīts no Saūda Arābijas uzņēmuma "GMTL Trading". E-pastā saņēmējs tika aicināts apstiprināt rēķina apmaksu. E-pasta pielikums saturēja par rēķinu maskētu ļaunatūru, ka paredzēta sensitīvas informācijas zagšanai. "CERT.LV" aicināja lietotājus saņemto e-pastu ignorēt un nekādā gadījumā nevērt vaļā pielikumu.
Ielaušanās un datu noplūde
Pastiprināti globālie uzbrukumi, kas vērsti pret publisko un privāto sektoru
Jūnija beigās un jūlija sākumā kibertelpā tika novēroti globāli uzbrukumi, kas bija vērsti gan pret valsts sektoru un pašvaldībām, gan arī pret komercsektoru un akadēmiskajām institūcijām.
Uzbrukumi tika veikti reizē pret visiem publiski pieejamiem autentifikācijas interfeisiem, t.sk. API, mājaslapu login sadaļas, VPN, IMAP/POP/SMTP, NTLM, SSO. Izmantotā pieeja paroļu minēšanai bija "password spray", ko ir daudz sarežģītāk konstatēt, salīdzinot ar biežāk sastopamajiem "brute-force" uzbrukumiem.
"CERT.LV" par saviem novērojumiem informēja visas atbildīgās iestādes, kā arī dalījās ar ieteikumiem – kā sevi pasargāt no aprakstītajiem uzbrukumiem.
