☰

Kiberlaikapstākļi (JŪNIJS)

Pieejami kiberlaikapstākļi par 2021. gada jūniju. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.

Krāpšana

Krāpnieki turpina aplaupīt iedzīvotājus kibertelpā

Laika posmā no 1. līdz 15. jūnijam Valsts policijas Zemgales reģiona pārvaldē tika saņemti 17 iesniegumi no iedzīvotājiem, kuri cietuši no dažādiem krāpniekiem internetā vai pa tālruni. Visbiežāk noziedznieki uzdevās par dažādu banku darbiniekiem, un pārliecināja lietotājus nosaukt savus bankas konta piekļuves datus. Rezultātā noziedzniekiem izdevās izkrāpt ievērojamas naudas summas. Otrs populārākais krāpšanas veids jūnijā bija krāpnieku izlikšanās par loģistikas uzņēmuma pārstāvjiem, kā rezultātā ar pikšķerēšanas vietnes starpniecību no Latvijas iedzīvotājiem izdevās izkrāpt vairāk kā 2 500 EUR.

Vairāk: https://www.vp.gov.lv/lv/jaunums/krapnieki-turpina-izmantot-iedzivotaju-letticibu

Šantāžas e-pastu uzplaiksnījums

Jūnija sākumā pēc ilgāka pārtraukuma tika novērots jauns izspiešanas e-pastu vilnis (dēvēts par “sextortion”), šoreiz krievu valodā. Tika saņemti satraukti ziņojumi no lietotājiem par e-pastiem, kuros tiek draudēts izplatīt kompromitējošus materiālus lietotāja kontaktiem, ja e-pasta saņēmējs neveiks maksājumu. CERT.LV informēja lietotājus, ka tā ir krāpniecība, nekāda kompromitējošā materiāla nav, un aicināja šos e-pastus ignorēt.

Par šādām kampaņām CERT.LV rakstījis jau iepriekš: https://cert.lv/lv/2020/04/jauns-santazas-e-pastu-vilnis

Krāpnieki arī vasarā uzglūn WhatsApp lietotāju kontiem

Jūnijā tika saņemti ziņojumi no vairākiem lietotājiem par nozagtiem (vai gandrīz nozagtiem) WhatsApp kontiem. Lietotāji šķietami no paziņas vai tuvas personas (kuras konts iepriekš ticis kompromitēts) saņēmuši ziņu, ka šī persona kļūdas pēc uz lietotāja telefona numuru nosūtījusi SMS ar 6 ciparu kodu. Tālāk tika lūgts šo kodu steidzami atsūtīt atpakaļ. Patiesībā 6 ciparu verifikācijas kods domāts, lai ļaundaris varētu pārnest lietotāja WhatsApp kontu uz citu ierīci / numuru.

Par šādām krāpnieku metodēm CERT.LV ir brīdinājis jau iepriekš: https://cert.lv/lv/2020/04/aktivizejusies-krapnieki-kas-zog-whatsapp-lietotaju-kontus

Uzzini, kas apmeklē Tavu Facebook profilu

Jūnija beigās krāpnieki Facebook platformā eksperimentēja ar lietotāju ziņkārības līmeni jeb vairāki lietotāji tika “ietagoti” pie ziņas ar virsrakstu “Uzzini, kas apmeklē Tavu Facebook profilu”. Atverot ziņu, tā tālāk lietotāju aizveda uz pikšķerēšanas vietni, kurā tika lūgts autentificēties, lai aplūkotu minēto statistiku. Ievadot savus Facebook piekļuves datus pikšķerēšanas vietnē, lietotājs zaudēja kontroli pār savu Facebook kontu.

Ļaunatūra un ievainojamības

Vairāki Latvijas uzņēmumi cietuši “Makop” šifrējošā vīrusa uzbrukumā

Jūnija sākumā ar CERT.LV sazinājās vairāki Latvijas uzņēmumi, kas cietuši šifrējošā izspiedējvīrusa “Makop” uzbrukumos. Uzbrukumu rezultātā tika sašifrētas uzņēmumu darbstacijas, serveri un datu bāzes. Tā kā vairumam uzņēmumu bija korekti izveidotas datu rezerves kopijas, tad atgūšanās no uzbrukuma noritēja veiksmīgi. CERT.LV, analizējot pieejamos informācijas fragmentus un atrodot kopsakarības starp incidentiem, secināja, ka visticamāk sākotnējais uzbrucēju mērķis ir bijis kāds pakalpojuma sniedzējs, kurš apkalpojis visus cietušos uzņēmumus. Ļaundari, izmantojot RDP (Remote Desktop Protocol) savienojumu, izplatīja vīrusu no šī pakalpojuma sniedzēja tālāk uz klientu iekārtām. CERT.LV informēja minēto pakalpojuma sniedzēju par konstatētajām kopsakarībām un aicināja pārbaudīt savas iekārtas. 

Windows servisa "Print Spooler" ievainojamības

Microsoft 8.jūnijā publicēja atjauninājumus Windows servisa “Print Spooler” (CVE-2021-1675) ievainojamībai, kas ļauj uzbrucējiem paaugstināt piekļuves tiesības (LPE), kā arī laterāli izplatīties Active Directory ietvaros. Savukārt 30.jūnija nejauši tika atklāta jauna, līdzīga ievainojamība (CVE-2021-34527), kurai atjauninājumi kādu brīdi nebija pieejami.

Vairāk: https://cert.lv/lv/2021/07/windows-servisa-print-spooler-ievainojamibas

E-pasts latviešu valodā no Saūda Arābijas – pielikumā vīruss

Jūnijā pēc svētkiem tika saņemti vairāki ziņojumi gan no uzņēmumiem, gan privātpersonām par aizdomīgu e-pastu, kas sūtīts no Saūda Arābijas uzņēmuma GMTL Trading. E-pastā saņēmējs tika aicināts apstiprināt rēķina apmaksu. E-pasta pielikums saturēja par rēķinu maskētu ļaunatūru, ka paredzēta sensitīvas informācijas zagšanai. CERT.LV aicināja lietotājus saņemto e-pastu ignorēt un nekādā gadījumā nevērt vaļā pielikumu.

 

Pakalpojuma pieejamība

Mākoņpakalpojumu sniedzējs “Fastly” uz brīdi izraisa globālu paniku

8.jūnijā interneta lietotāji Āzijas – Klusā okeāna reģionā, ASV un arī Eiropā gandrīz stundu nevarēja piekļūt tādiem populāriem ziņu portāliem un resursiem kā  “Forbes”, “BBC”, “CNN”, “The New York Times”, “Twitter, “Github”, “Reddit”, “Spotify”, “Amazon” un citiem. Piedzīvotais “interneta pārrāvums” bija saistīts ar tehniskas dabas traucējumiem mākoņpakalpojuma sniedzēja “Fastly” darbībā, kura pakalpojumus izmanto augstāk minētie interneta resursi.

Vairāk: https://www.lsm.lv/raksts/zinas/arzemes/interneta-darbibas-traucejumi-skarusi-daudzas-pasaule-popularas-majaslapas.a408126/

Ielaušanās un datu noplūde

Pastiprināti globālie uzbrukumi, kas vērsti pret publisko un privāto sektoru

Jūnija beigās un jūlija sākumā kibertelpā tika novēroti globāli uzbrukumi, kas bija vērsti gan pret valsts sektoru un pašvaldībām, gan arī pret komercsektoru un akadēmiskajām institūcijām.

Uzbrukumi tika veikti reizē pret visiem publiski pieejamiem autentifikācijas interfeisiem, t.sk. API, mājaslapu login sadaļas, VPN, IMAP/POP/SMTP, NTLM, SSO. Izmantotā pieeja paroļu minēšanai bija "password spray", ko ir daudz sarežģītāk konstatēt, salīdzinot ar biežāk sastopamajiem “brute-force” uzbrukumiem.

CERT.LV par saviem novērojumiem informēja visas atbildīgās iestādes, kā arī dalījās ar ieteikumiem – kā sevi pasargāt no aprakstītajiem uzbrukumiem.

Lietu internets

Būtiski incidenti netika reģistrēti.