„Edukate“ lunavararünnete osakaal on aastaga kasvanud tervelt 11 protsendipunkti, nii et neljast ründest kolmel juhul on pahalastel õnnestunud andmed krüpteerida, selgub küberturbelahenduste pakkuja Sophos uuringust. Ligi pooled ohvritest maksid kurikaeltele lunaraha ning üllatuslikult on peamiseks sihtmärgiks muutunud haridussektor.
Küberturbelahenduste pakkuja Sophos küsitles 14 riigis ühtekokku 3000 erineva suurusega ettevõtet ja organisatsiooni, mille töötajate arv on vahemikus 100–5000 ning aastane käive ulatub 10 miljonist rohkem kui 5 miljardi USA dollarini. Uuringu andmetel on neist lunavararünde ohvriks langenud tervelt 66%, mis oli samal tasemel ka aasta varem. 76% juhtudel õnnestus pahalastel ettevõtte andmed krüpteerida, tunamullu oli „edukate“ rünnete osakaal 65%. Tervelt 46% ohvritest maksis oma andmete tagasisaamiseks lunaraha, mis koos muude taastamiskuludega oli keskmiselt 1,82 miljonit dollarit ründe kohta, kasvades aastaga 30%.
Üllatuslikult oli lunavararünnete osakaal kõige kõrgem haridussektoris, mis üle-eelmisel aastal tehtud sarnase uuringu kohaselt pigem sihtmärk ei olnud. Kuna tervelt 79% küsitletud kõrgkoole ning 80% madalama astme õppeasutusi olid lunavararündeid omal nahal kogenud, siis osutab see, et pahalased on väga hästi mõistnud tundlike haridusandmete olulisust, mis koos selle valdkonna pideva alarahastamisega loob omamoodi surmava kombinatsiooni. Kõige vähem rünnati uuringu kohaselt IKT-sektorit (50%), mis klassikaliselt panustab ka kõige rohkem küberturbesse.
Küberkurjategijad ei ole enam ammu igavlevad teismelised taibud vanemate maja keldris, vaid kõrgelt organiseeritud struktuurid, kus on lisaks häkkeritele ametis IT-juhid, programmeerijad, testijad, süsteemiadministraatorid, pöördprojekteerijad (reverse engineers), tehniline heldpesk, klienditugi, müügiesindajad jne nagu igas lugupeetud IT-ettevõttes. Suurimate „turuosaliste“ käivet mõõdetakse juba sadades miljonites eurodes ning „turuliidrid“ selles vallas olid 2022. aastal LockBit (üle 15% rünnetest), Alpha VM/BlackCat (12%), HIVE (11%) ja Phobos (10%). Kui üldiselt on tegemist apoliitiliste äristruktuuridega, siis Conti-nimeline grupp (ligi 5% rünnetest) on avalikult teatanud oma täielikust toetusest Venemaa valitsusele ning lubanud täie võimsusega kaitsta riigi kriitilist taristut Lääne võimalike küberrünnete korral. Ilma rahaliste nõueteta küberründed tõusidki fookusesse eeskätt koos Ukraina sõjaga, näiteks võib tuua sidesatelliitide saboteerimise, USA lennujaamade veebilehtede ülekoormamise või Poola raudtee juhtimissüsteemi hiljutise halvamise.
Ohvrite valimiseks tehakse põhjalik kodutöö
Enamik lunavararündeid on siiski rahaliselt motiveeritud ning ohvrid põhjaliku kodutöö järel väga hoolikalt välja valitud. Näiteks kirjutas üks neist häkkeritele, et ettevõttel pole võimalik maksta nii palju lunaraha, misjärel sai pahalastelt e-kirja vastuseks ettevõtte enda varem sõlmitud ärikatkestuskindlustuse poliisi, kus kindlustussumma oli märksa kõrgem kurikaelte nõutud lunarahast. Kuigi nii mõnelgi juhul näitavad kurikaelad üles paindlikkust ning on valmis nõutud summat vähendama või aktsepteerivad seda osamaksetena, on lunaraha maksmine igal juhul halb mõte.
Tavaliselt saadakse maksmise järel tagasi keskmiselt vaid 60% lunavaraga krüpteeritud infost ning sellegagi ei kiirustata – enamasti kulub selleks uuringute järgi nädal kuni kuu. Samuti ei ole info sugugi algses formaadis, vaid teisel kujul ja killustatud, mis eeldab lisatööd ja -kulu andmete kasutamiseks. Seetõttu tasuks alati eelistada krüpteeritud andmete taastamist varukoopiatelt, mis on keskmiselt kaks korda odavam. Alati pole sellest aga täiel määral abi, kuna vähemalt 30% juhtudel eelneb IT-süsteemide lunavaraga krüpteerimisele mastaapne andmevargus. Kui andmed taastatakse varundusest ning lunaraha ei maksta, püüavad pahalased enamasti tundlikku äriinfot avalikustades hävitada rünnatud ettevõtte või organisatsiooni maine.
Lunaraha maksmine ei anna tagatist
Tegelikult pole muidugi ka lunaraha maksmise korral mingit tagatist, et varastatud andmeid kuskil tumeveebis hiljem müüki ei panda. Välk ei pidanud ühte kohta mitu korda lööma, aga vähemalt ühel juhul on seda juhtunud tervelt kolm korda. Nimelt langes üks ettevõte kaugligipääsutarkvara (RDP) turvaaugu tõttu vähem kui kuu ajaga kolme erineva lunavaragrupi ohvriks. Need korduvad edukad ründeid said võimalikuks seetõttu, et ettevõte ei uurinud kohe alguses täpselt välja, kuidas kurikaeltel õnnestus esimesel korral IT-süsteemidesse tungida. Seetõttu tuleb võtta alati eeldusena, et pahalased soovivad alati säilitada hästi varjatud tagauksed ülevõetud süsteemidesse, et need järgmisele grupile edasi müüa, kes mõne aja pärast andmed uuesti krüpteerib ja taas lunaraha nõuab.
2/3 lunavararündeid tehakse uuringute kohaselt öösiti, kui ettevõtte IT-meeskonnal võtab sellele reageerimine eeldatavalt rohkem aega. Lemmikuks on esmaspäeva öö vastu teisipäeva ja nullpäevaründed, kus kasutatakse ära arendajatele veel teadmatuks jäänud turvanõrkusi mõnes tarkvaras. Keskmiselt toimetavad pahalased varjatult rünnatud ettevõtte IT-süsteemides 11 päeva enne, kui andmed krüpteeritakse ja lunaraha nõutakse.
Pahavara kombineeritakse seaduslike tööriistadega
Pahavarad muutuvad pidevalt keerukamaks, kuid enamasti kombineeritakse lunavararündeid täiesti seaduslike rakendustega nagu printeriprotokollid, tööriistad läbistustestideks, varundustarkvarad, lahendused kasutajaseadmete monitooringuks ja kaughalduseks (RDP, PowerShell) jne. Järjest enam kasutakse ära inimeste teadmatust (social engineering), sest tipptasemel küberturbetehnoloogia ei ole enda kaitsmiseks piisav nagu poksikinnaste omamine ei tee veel kedagi poksijaks.
Siiski on enamik lunavararünnete ohvreid näinud hoiatusmärke logides juba enne andmete krüpteerimist, kuid probleem on selles, et tänapäeval on erinevate IT- ja tehnoloogiasüsteemide logisid tohutult palju ning nende alusel käsitsi ründe tuvastamine keerukam kui nõela otsimine heinakuhjast. Reaalselt on seda võimalik teha üksnes turvatarkvara ning tuvastamise ja tõkestamise võimekusega (IDS/IPS) tulemüüri kasutades, mis sageli suudab automaatründed tuvastada ja blokeerida. Keerukamate, häkkerite osalusel toimuvate sihitud rünnete puhul võib aga sellest olla vähe, sest siis tuleb sageli ründele reageerida juba minutite jooksul. Ainsana on see võimalik turvaintsidentide tuvastus- ja reageerimisvõimekuse olemasolul, olgu see siis lahendatud ettevõtte enda turvatiimi või sisseostetud teenusena. Ülikiire reageerimisvajaduse tõttu ongi pahavarakaitse vaikselt muutumas tarkvaratootestteenuseks, mis lisaks tulemüürile ja turvatarkvarale sisaldab ka IT-süsteemides toimuva 24/7 monitooringut, tuvastatud intsidentide kiiret analüüsi ja reageerimist vastavalt sellele.
Raido Vahi
Müügijuht
See e-posti aadress on spämmirobotite eest kaitstud. Selle nägemiseks peab su veebilehitsejas olema JavaSkript sisse lülitatud.
Artikkel ilmus Finantsuudised.ee portaalis 3.01.2024.
Loe lisaks:
Microsoft Copilot for Microsoft 365 nüüd saadaval Datafoxi müügikanalis
Datafox Software Engineering aitas Ühisteenustele luua parkimisäpi Parkner