Kiberlaikapstākļi (JANVĀRIS)

2020-02-10

Pieejami kiberlaikapstākļi par 2019. gada decembri. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Ļaunatūra & ievainojamības

Suvenīrs ar kiber-rozīnīti

Kādā publiskā pasākumā viesiem - uzņēmumu pārstāvjiem - tika izsniegta zibatmiņa ar reklāmas materiāliem, kas papildus saturēja arī vīrusu nesankcionētu "sētas durvju" (backdoors) izveidošanai upura datorā. Aicinājums būt piesardzīgiem gan ar nezināmas izcelsmes, gan ar šķietami zināmas izcelsmes zibatmiņu ievietošanu savās iekārtās.

Ievainojamība pakļauj datu zādzībai un šifrējošā izspiedējvīrusa uzbrukuma riskam

Janvāra beigās viens no lielākajiem tīkla aparatūras ražotājiem Citrix publicēja ielāpus kritiskas ievainojamības CVE-2019-19781 novēršanai. Ievainojamība ļāva uzbrucējam, neveicot autentifikāciju, realizēt patvaļīga koda izpildi ievainojamajā sistēmā. Globālā pieredze liecina, ka ievainojamība tika aktīvi izmantota uzbrukumos. Par to pārliecinājās gan starptautiskā valūtas maiņas ķēde Travelex, kas veic starptautisko banknošu piegādi virknei banku un tirdzniecības ķēžu, piemēram, britu lielveikaliem Tesco, gan Ņūorleāna, kurā kiberuzbrukuma dēļ tika izsludināts ārkārtas stāvoklis, kā arī Albānijas starptautiskā lidosta. Gan šajos, gan citos Citrix ievainojamības izmantošanas gadījumos sistēmas tika pakļautas šifrējošā izspiedējvīrusa Sodinokibi (pazīstams arī kā REvil) uzbrukumam, kurš ne tikai padara datus nepieejamus, lai pieprasītu izpirkuma maksu par datu atgūšanu, bet pirms tam šos datus nokopē, lai uzbrucējs varētu draudēt ar datu publiskošanu, ja netiks samaksāta izpirkuma maksa. Ja dati izrādās pietiekami interesanti, uzbrucēji tos var censties arī pārdot melnajā tirgū.

CERT.LV veiktās pārbaudes atklāja arī vairākas nozīmīgas ievainojamas sistēmas Latvijā, kuru turētāji tika apzināti un brīdināti. Ievainojamības tika veiksmīgi novērstas.

Vairāk:
https://support.citrix.com/article/CTX267027
https://www.forbes.com/sites/kateoflahertyuk/2020/01/14/new-citrix-security-alert-us-government-issues-test-tool-for-serious-flaw/

Microsoft novērš kritiskas ievainojamības

Janvāra vidū arī korporācija Microsoft publicēja kritiskus atjauninājumus, kas novērsa ļaunatūras iespēju apiet programmatūras un tīmekļa vietņu uzticamības pārbaudi, kā arī liedza attālinātu ļaunprātīgu Remote Desktop tehnoloģiju (RDP) izmantošanu.

Vairāk: https://www.us-cert.gov/ncas/alerts/aa20-014a

Valsts policija un CERT.LV brīdina par šifrējošo izspiedējvīrusu uzbrukumiem

Valsts policijas Galvenās kriminālpolicijas pārvaldes Ekonomisko noziegumu apkarošanas pārvaldes amatpersonas, veicot informācijas pārbaudi par kiberuzbrukumiem un aktīvi sadarbojoties ar CERT.LV speciālistiem, periodiski saņem sūdzības gan no fiziskām, gan juridiskām personām par dažādu šifrējošo izspiedējvīrusu (ransomware) uzbrukumiem.

Šāda veida vīrusi Latvijā pēdējo divu gadu laikā visbiežāk skāruši tieši mazos un vidējos uzņēmumus, kuriem trūkst informācijas un arī resursu kiberdraudu mazināšanai. Pēdējā gada laikā Latvijā izteikti izplatīti tieši dharma saimes šifrējošie vīrusi.

Vairāk: https://cert.lv/lv/2020/01/valsts-policija-bridina-par-sifrejoso-izspiedejvirusu-uzbrukumiem

Krāpšana

Izmanto globāli aktuālas tēmas klikšķu vairošanai un ļaunatūras izplatīšanai

Vairāki incidenti starptautiskajā kibervidē vērsa sabiedrības uzmanību uz hakeru mēģinājumiem izmantot aktuālus un satraucošus tematus, piemēram, informāciju par koronavīrusu, lai izplatītu viltus ziņas, veicinātu krāpniecisku vietņu popularitāti un izplatītu ļaunatūru.

Vairāk: https://nra.lv/pasaule/303882-lietuvas-varas-iestades-sanemusas-viltus-zinu-ka-asv-karavirs-inficejies-ar-koronavirusu.htm

Krāpnieciskas SMS bankas Citadele vārdā

Janvāra sākumā Citadeles vārdā krāpnieki bankas klientiem sūtīja SMS, kuras ietvēra krāpniecisku saiti. Banka aicināja kritiski izvērtēt ziņas, kas saņemtas bankas vārdā, īpaši, ja tajās lūgts atvērt kādu saiti vai ievadīt datus. Tāpat banka atgādināja, ka ar PIN kodiem, autorizācijas kodiem, parolēm, kartes numuriem, derīguma termiņiem un CVV kodiem tiek apstiprinātas tikai pašu iniciētas darbības.

Vairāk: https://www.cblgroup.com/lv/mediju-telpa/preses-relizes/2020/uzmanieties-no-krapniekiem-kuri-uzdodas-par-banku

Lietu internets

Nopludināti 500 000 iekārtu dati

Janvāra beigās tīmeklī tika publiskoti vairāk nekā 500 000 kompromitētu serveru, maršrutētāju un lietu interneta (IoT) "gudro" iekārtu piekļuves dati. Saraksts saturēja iekārtu IP adreses, lietotājvārdus un paroles attālinātai iekārtu kontrolei (Telnet service). Sarakstu nopubliskoja kāds piekļuves atteices (DDoS) uzbrukumiem paredzētas infrastruktūras uzturētājs.

Šādi piekļuves datu apkopojumi, kas ik pa brīdim nonāk tīmeklī, apliecina to, ka uzbrucējiem ir aktīva interese par nepietiekami aizsargātu viedierīču izmatošanu pretlikumīgu darbību veikšanai.

Vairāk: https://cert.lv/lv/2020/01/cert-lv-parbauda-nopludinatu-kompromitetu-iekartu-sarakstu

Ielaušanās un datu noplūde

Saistīts arī ar incidentu kiberlaikapstākļu sadaļā – “Lietu internets”.

Pakalpojuma pieejamība

Būtiski incidenti netika reģistrēti.