Publiskotajā pārskatā iekļauta informatīva un vispārpieejama informācija par CERT.LV darbības rezultātiem un tendencēm IT drošības jomā 2020. gada griezumā.
Izaicinājumi kiberuzbrukumu jomā
Kā liecina pārskats, pērn Latvija piedzīvoja vairākus izaicinājumus, proti, strauju pielāgošanos attālinātajam darbam, virkni krāpšanas kampaņu un inovatīvus kiberuzbrukumus. Jāpiemin, ka īpaši audzis kiberuzbrukumu skaits privātpersonu iekārtām mājsaimniecībās – privātajiem datoriem, maršrutētājiem, viedajiem televizoriem. Salīdzinot ar periodu pirms globālas pandēmijas izplatīšanās, uzbrukumu skaits audzis par 15-30%. Periodiski tika novēroti kiberuzbrukumi arī pret attālinātā darba instrumentiem, piemēram, virtuālo privāto tīklu jeb VPN (Virtual Private Network) un attālinātās piekļuves jeb RDP (Remote Desktop Protocol) tehnoloģijām – pieaugums par aptuveni 20%. Tāpat tika novērots ar pandēmiju nesaistītu krāpniecisku kampaņu pieaugums. Mērķauditorija šādās kampaņās pārsvarā bija gala lietotāji, savukārt mērķis – autentifikācijas datu izgūšana.
Ievainojamību apzināšana
Pārskata periods izcēlies ar vairāku īpaši kritisku ievainojamību atklāšanu, un uzbrucēji vairākas no šīm ievainojamībām veiksmīgi pielietoja uzbrukumos līdz atbilstošu atjauninājumu publicēšanai. CERT.LV informē, ka ir veikta potenciāli ievainojamo sistēmu apzināšanu valsts sektorā, informēti sistēmu uzturētāji, sniegti ieteikumi ievainojamību novēršanai un atbalsts incidentu risināšanā.
Pandēmijas ietekme
COVID-19 pandēmijas dēļ virknē uzņēmumu un organizāciju tika pieļauti kompromisi attiecībā uz drošību, lai spētu pēc iespējas ātrāk pārslēgties uz pilnvērtīgu attālināto darbu. Neatbilstoši konfigurētas RDP piekļuves bija apdraudējums gan periodā, kad pandēmijas klātbūtne vēl nebija gaidāma, gan pandēmijas apstākļos, kad problēma tikai saasinājās. Uzbrucēji izmantoja nepietiekami aizsargātus RDP servisus un VPN vārtejas, lai kompromitētu sistēmas un piekļūtu uzņēmumu un organizāciju iekšējiem tīkliem. Visbiežāk sastopamā problēma izrādījās nepietiekami drošu paroļu izvēle, kuras uzbrucējiem izdevās uzminēt vai piemeklēt, kā arī neatjaunotas VPN iekārtas un papildu drošības mehānismu neesamība.
Uzbrucēji izmanto sabiedrības nepietiekamās zināšanas
Diemžēl uzbrucēji aizvadītajā gadā turpināja izmantot iedzīvotāju nepietiekamās zināšanas un izpratnes trūkumu par vairākfaktoru autentifikācijas mehānismu darbību. Aktīvā uzbrukumu kampaņā iedzīvotāji saņēma telefona zvanus, kuros krāpnieki uzdevās galvenokārt par banku vai Smart-ID darbiniekiem, lai panāktu otrā faktora apstiprināšanu un izkrāptu finanšu līdzekļus. Ticamības palielināšanai krāpnieki veiktajos zvanos viltoja banku telefona numurus.
Sociālo tīklu krāpniecības uzplaukums
Sociālajiem tīkliem ieņemot arvien lielāku lomu sabiedrības, iestāžu un uzņēmējdarbības komunikācijā, krāpnieki savā kontrolē centās pārņemt iestāžu un uzņēmumu kontus ar gana apjomīgu lietotāju skaitu, lai tos izmantotu dažādu produktu vai pakalpojumu reklamēšanai galvenokārt Tālo Austrumu reģionā. Krāpnieki izmantoja iebiedēšanas taktiku, izliekoties par sociālā tīkla administrāciju un draudot ar konta darbības apturēšanu lietošanas noteikumu pārkāpuma dēļ. Pieeja vairāku iestāžu kontiem tika zaudēta, kontu administratoriem ievadot piekļuves datus krāpnieku sagatavotajās vietnēs. Jāatzīmē, ka nevienā no kontiem līdz tam netika izmantota divu faktoru autentifikācija.
Pielāgošanās tendencēm
Kā informē pārskata dati, tika novērota jauna tendence ar izspiešanu saistītajos uzbrukumos. Apjomīgi (līdz pat 180 Gb/s) piekļuves atteices (DDoS) uzbrukumi tika vērsti pret finanšu institūcijām un lielajiem uzņēmumiem. Uzbrucēji pieprasīja izpirkuma maksu par uzbrukumu pārtraukšanu, draudot apturēt uzņēmuma darbību ar atkārtotu uzbrukumu līdz pat 2 Tb/s. Iebiedēšanas uzbrukumi gan neilga vairāk par dažām dienām, biežāk tie ilga mazāk par stundu. Atkārtoti uzbrukumi lielākajā daļā gadījumu nesekoja. Ja uzņēmums neuzsāka komunikāciju ar izspiedējiem, uzbrucēji zaudēja interesi un mainīja mērķi.
Jaunais drauds – Emotet
2020. gada otrajā pusē bija vērojama strauja ļaunatūras Emotet izplatība gan globālajā, gan Latvijas tīmeklī. Ļaunatūra no inficētās iekārtas izplatīja sevi upura kontaktu lokam, palielinot ļaundabīgo e-pastu uzticamību ar sarakstes fragmentiem, kas iegūti no upura iekārtas, kā arī veica inficētajā iekārtā citas ļaundabīgas darbības. Latvijā īsā laika periodā ar Emotet tika inficētas vairāk nekā 200 organizācijas, kurās tika zaudēta kontrole pār e-pastu sarakstēm un citu informāciju. CERT.LV prognozē, ka pēc gada vai ilgāka perioda iegūtā informācija var parādīties atkārtotos uzbrukumos vai tikt izmantota citās mērķētās ļaundabīgās kampaņās.
Kopsavilkums
Kopumā pārskata periodā CERT.LV reģistrēja 346 108 apdraudētas unikālās IP adreses. Pārskata periodā nav novērotas būtiskas svārstības apdraudēto IP adrešu apjomā.
Kas mūs sagaida nākotnē?
Ņemot vērā arvien pieaugušo tiešsaistē veicamo darbību apjomu – attālinātais darbs, sanāksmes, mācības, iepirkšanās, saziņa, – kā arī jau notikušās datu noplūdes un potenciālās noplūdes nākotnē, jārēķinās ar pielāgotākiem un mērķētākiem kiberuzbrukumiem.
