Alates eelmise aasta teisest poolest on Eestis märgatavalt rohkem levima hakanud ohtlik küberviirus, mis võtab arvuti pantvangi ja nõuab failide vabastamise eest lunaraha.
- Arvuti n-ö pantvangi võtmine võib töö täielikult halvata. Foto: Scanpix/Panthermedia
On tööpäeva hommik, kell tiksub halastamatu kiirusega üheksa suunas. Autoga kodumaja eest välja tagurdades avastan liiga hilja, et keegi “hooliv inimene” on vahepeal liiklusmärgi paigast nihutanud. Põmm. Aega on vaid hingetõmbeks – gaas põhja ja tööle. Koosolek algab kell üheksa. Veel on veidi aega. Kontoris avan arvuti, mis on kiuslikult uimane ja karjub restardi järele. Okei, annan järele ja teen selle neetud taaskäivituse. Kui arvuti uuesti pildi ette võtab, on taust tume ja ekraanil kiri: “Your personal files are encrypted!” Ma ei usu oma silmi! Keegi on mu arvuti kõik failid pantvangi võtnud ja küsib selle eest lunaraha. Ikka bitcoinides, et ei saaks jälitada. Oeh, kell on juba üheksa läbi, aga mis sest koosolekust enam. Põmm.
Üha rohkem rünnakuid
Selliseid olukordi, nagu juhtus sel kevadel Äripäeva ajakirjanikuga, on Eestis alates eelmisest aastast ette tulnud sadu. Ja see arv kasvab. Riigi infosüsteemi ameti (RIA) intsidentide käsitlemise osakonna (CERT-EE) juhataja Klaid Mägi sõnul on krüptoviirus ehk lunavara efektiivne kuritegelik ärimudel, mille levik on ka Eestis tõusuteel.
Kui erinevate turvajuhtumitega tegelevat CERT-Eestit teavitati 2014. aastal vaid üksikutest juhtumitest, siis mullu jõudis nendeni juba 150 sellist intsidenti. „2015. aasta viimase kahe kuu jooksul teavitati lunavarast neli korda enam kui eelneva kümne kuu jooksul,“ tõdes Mägi krüptoviiruse leviku suurt kasvu.
Tehnokratt ja IT-ekspert Peeter Marvet nimetas seda „küberkriminaalseks ärimudeliks“, mille ainuke eesmärk on rikastuda teistelt varastades.
Kommentaar
Taastada ei õnnestunud kolmandikku andmetest
Tallinna Sadama turundus- ja kommunikatsioonijuht Sirle Arro
Oktoobris 2015 selgus, et häkkeritel õnnestus siseneda Tallinna Sadama arvutivõrku. Täpset aega tagantjärele määrata ei ole võimalik, aga erinevate märkide põhjal eeldasime, et arvutivõrku sisenemine toimus aprillis 2015.
Häkkerite tegevuse tõttu krüpteeriti kahe failiserveri sisu. Häkkerid ei pääsenud ligi strateegiliselt olulistele dokumentidele (lepingud, raamatupidamine, laevaliiklus jms), millel on eraldi e-süsteemid.
Ligikaudu 1/3 failiserverites salvestatud andmetest ei õnnestunud meil rünnaku järel taastada. See oli pigem tingitud inimfaktorist ehk töötajatepoolsest töökohustuste edasilükkamisest.
Olukorra järel toimusid muutused IT-osakonna töötajate seas ning ümberkorraldused juhtimisprotsessides.
Tegime ka avalduse politseile. Häkkerid nõudsid meie käest 3 bitcoini, mis tollal oli umbes 650 eurot.
Antud juhtum ei tekitanud otseselt vajadust süsteeme täiesti ümber teha, küll aga andis võimaluse kiiremini ellu viia varem planeeritud suuremahulisi süsteemide uuendusi, mis muu hulgas parandasid oluliselt ka süsteemide turvalisust.
Edaspidi oskame sarnasteks rünnakuteks paremini valmis olla. Selliste juhtumite puhul võib öelda, et küsimus pole kas, vaid pigem millal juhtub.
„Paraku on "lunavara" väga leebe kõlaga sõna ja õigem oleks rääkida väljapressimisest või pantvangi võtmisest. Ohvrile oluline vara muudetakse kättesaamatuks, kasutades spioonilugudes "šifreerimiseks" kutsutavat krüptograafiat,“ seletas Marvet viiruse olemust lahti.
Küberterroristid kasutavad anonüümsuse kilpi
Pärast seda, kui arvuti on nakatatud krüptoviirusega, ilmub ekraanile tavaliselt kiri, mis nõuab lunaraha maksmist bitcoinides – anonüümsuse eesmärgil. Kui on soov oma faile veel kunagi näha. „Programmeerimise, levitamise ja haldamisega tegelevad sageli sellele spetsialiseerunud "allhankijad". Suhtlemine väljapressijatega toimub aga sageli, kasutades netiühendusi anonümiseeriva Tor-võrgu .oninon-aadresse,“ selgitas Marvet. Tor-võrk võimaldab veebis anonüümsemalt seigelda ning erinevad kriminaalid kasutavad oma tegudeks just seda võrku. Ka kurikuulus Darknet eksisteerib selles maailmas.
„Eesmärk on teenida võimalikult vähese tööga võimalikult palju raha, viies enda vahelejäämise riski miinimumini,“ seletas Marvet.
Väljapressimise efektiivsuse tagab terroristidele Marveti hinnangul hea "turu tundmine" – pantvangi võetav (antud juhul arvuti sisu) peab olema ohvrile piisavalt oluline ja summa piisavalt väike, et probleemi lahendamiseks oleks lihtsam maksta kui riskida täieliku hävinguga. „Näiteks äsja oma "projekti" lõpetanud ja dekrüpteerimisvõtme kõigile avaldanud TeslaCrypt alustas arvutimängudega seotud failidest, panustades ilmselt emotsionaalsele väärtusele ja soovile õhtuseks mängusessiooniks olukord taastada,“ nentis Marvet. Kuid viiruseid ja nende eri vorme on palju ja lunavara arendaja TeslaCrypti poolt võtme andmine lahendab vaid killukese probleemist.
"Pealtnägija" avaldas tänavu kevadel loo, kus toodi välja küberviiruse probleem, ning nimetas ka erinevaid asutusi, keda on viirusega nakatatud. Teiste seas olid ka näiteks politsei- ja piirivalveamet, Tallinna Kiirabi ja Tallinna Sadam.
Klaid Mägi sõnul ei vali krüptoterroristid oma ohvreid ettevõtte või selle suuruse järgi. Kannatanute seas on nii eraisikuid kui ka ettevõtteid. „Kuna ettevõtete kahjud paistavad suuremana välja ning Eestis on elutähtsat teenust osutavatel ettevõtetel küberintsidendist teavitamise kohustus, siis nendest me saame lihtsalt rohkem teada. Samas on möödunud paari kuuga meid teavitanud lunavarast ka päris palju eraisikuid,“ märkis Mägi.
Mägi sõnul on neile teadaolevalt mõned ohvrid allunud väljapressimisele ning kurjategijatele küsitud bitcoinid ära maksnud. „Kui kõik sujub, siis saadetakse kasutajale vajalik dekrüpteerimisprogramm. Samas on esinenud ka ebaõnnestunud tehinguid, kus kasutaja raha maksis, aga failid jäid endiselt krüpteerituks,“ seletas Mägi.
Pane tähele!
Mida teha, et mitte sattuda küberterroristide ohvriks?
Nõuanded:
Paigalda arvutile tõhus viirusetõrje ja värskenda seda.
Ära ava e-kirjaga kaasa tulnud tundmatuid manuseid, faile, linke.
Piira arvutis kasutajaõiguseid – töö tegemiseks ning veebis surfamiseks pole vaja olla administraatoriõigustes.
Kasuta pistikprogrammi, mis potentsiaalselt ohtlikke tehnoloogiaid (JavaScript, Flash jms) blokeerib. Lunavaraga võib nakatuda ka veebis surfates.
Tekitatud kahju aitab ära hoida varukoopiate omamine.
Mida teha siis, kui terroristid on su arvuti juba üle võtnud?
Eemalda tööjaam võrgust ning seejärel taasta failid.
Tuvasta krüptoviiruse liik, näiteks vaadates krüpteeritud failide laiendeid (crypt, .locky, .mp3) või kasuta teenust
https://id-ransomware.malwarehunterteam.com/) ning looda, et konkreetne versioon oleks hetkel dekrüpteeritav.
Kui krüptoviiruse liik dekrüpteeritav ei ole, siis jää ootele ja looda, et see varsti dekrüpteeritakse.
Teavita politsei- ja piirivalveametit (
[email protected]) ning CERT-EEd (
[email protected]).
Kui ise jääd hätta, pöördu abi saamiseks CERT-EE poole.
Allikad: RIA, Digitohter, Peeter Marvet.
Mägi sõnul küsitakse lunaraha enamasti kuskil 0,1–3 bitcoini (mis jääb olenevalt kursist 25 kuni 1000 euro vahemikku). Kõige levinuim on 1 bitcoini suuruse lunaraha küsimine.
Arvuti nakatub märkamatult
Digitohter OÜ juhatuse liikme ja IT-spetsialisti Meybo Nõmme hinnangul levitatakse viirust peamiselt e-posti teel manustena.
Kui inimene püüab manust avada, siis esialgu ei juhtugi midagi, kuid tegelikkuses on viirus taustal juba käivitatud ning asub kasutaja faile krüpteerima. Teisisõnu – arvuti võib nakatuda ka nii, et inimene ise ei märkagi midagi.
„Meie poole pöördunud krüptoviiruse ohvrite seas on nii ettevõtjaid kui ka eraisikuid ning noori ja vanu. Võimalik, et esineb krüptoviiruseid, mis on konkreetselt mõnele sihtgrupile suunatud, kuid enamasti on eesmärk saata viirus e-kirjaga laiali võimalikult paljudele kasutajatele üle maailma, sooviga nakatada võimalikult paljud arvutid,“ selgitas Nõmme. Ta lisas, et mida suurem on krüptoviirusega nakatatud arvutite hulk, seda rohkem esineb ka neid, kes oma failide tagasisaamise nimel on valmis küsitud lunaraha maksma.
Nende ettevõtte klientide hulgas on mitmeid väike- ja mikroettevõtteid. „Kahjuks on keskmine olukord viirusetõrje kasutamisel üsna nukker. Väga tihti kasutatakse mõnda tasuta viirusetõrjet, mis ei paku kaugeltki piisavat kaitset," rääkis Nõmme. Ta lisas, et tasub tähele panna, et enamlevinud kommenrtsviirusetõrjete tasuta versioone on litsentsitingimuste põhjal lubatud kasutada vaid kodukasutajal ja mittetulunduslikel organisatsioonidel.
Täielik kaitse puudub
Küberviiruse vastu on võimalik ennast kaitsta tulemüüri ja pahavaratõrjega, kuid täielikult ei kaitse neist ükski. „100% garanteeritud kaitset ei ole viiruste vastu kunagi, samuti nagu pole olemas muukimatut lukku või mahamurdmatut ust. Piltlikult öeldes – isegi kui uks on väga tugev ja luku muukimine väga keeruline, on sellest kõigest vähe kasu, kui võti lukuauku unustatakse. Isegi kui arvutisse on paigaldatud tõhus viirusetõrje, on ohtude vältimiseks siiski väga oluline, et ka arvutikasutaja ise oleks nendest teadlik ja kasutaks arvutit mõistlikult,“ märkis Digitohtri juhatuse liige ja IT-spetsialist Meybo Nõmme.
Tehnokratt Peeter Marveti sõnul on lunavara puhul tegemist rahvusvaheliselt ühe levinuima pahavara abil teenimise skeemiga. „Lugedes näiteks Kaspersky 2015 kohta käivat analüüsi, võib öelda, et ülemaailmselt tuvastatakse lunavara siiski umbes kolm korda vähem kui kasutajate pangakontode ülevõtmiseks mõeldud pahavara. Ja ühe 2014. aasta uuringu kohaselt oli esimese laialt levinud lunavara CryptoLockeri ohvriks langenud üks küsitletu 30st (ehk ca 2,9%) ja 15% neist ka maksis failide kättesaamiseks,“ rääkis Marvet.
Kui päris mitmel juhul on suudetud krüpto ka lahti murda, siis selle peale ei saa Marveti arvates lootma jääda, arvestades, et Kaspersky tuvastas ainuüksi aastal 2015 üle 6800 lunavara versiooni.
„Pahavara muutub pidevalt ja suurema saagi nimel võib selle konkreetse sihtmärgi jaoks ka rätsepatööna teha, testides tulemust viirusetõrje-programmide peal ja leides viisi neist mööda minna,“ nentis Marvet. Lunavaraga nakatumist on tema sõnul raske täielikult ära hoida isegi kõige parema infoturbe korral, sest viirused arenevad ning muutuvad teadlikumaks, kuidas tõrjetest mööda hiilida.
Kaspersky Lab: iga kümnes kaotas raha internetikelmide tegevuse tõttu
Veebiturvalisuse küsimustege tegelev rahvusvaheline ettevõte Kaspersky Lab tuvastas uuringus, et 48% interneti kasutajatest on sattunud küberkelmide skeemide sihtmärgiks. 11% kasutajatest kaotasid raha internetikelmide tegevuste tagajärjel.
Peaaegu pool internetikasutajatest puutus käsitletud 12kuisel perioodil ohtudega kokku. Need ohud sisaldasid kahtlaste e-kirjade saamist, mis pretendeerisid sellele, et olevat saadetud panga (22%) või jaemüügi saidi (15%) poolt, ning samuti kahtlaste, finantsinformatsiooni pärivate veebilehtede külastamine (11%). Eesti kasutajad on langenud ka küberkurjategijate ohvriks, kes püüavad saada ligipääsu kasutajate arveldusarvetele. Eesti internetikasutajate seas läbiviidud küsitluse järgi puutus 5% vastajatest kokku olukorraga, kui väidetavalt pank palus neilt esitada ligipääsu ja salasõnad nende arveldusarvetele ja kontodele. Samuti sai 6% vastajatest identsed palved sotsiaalvõrgustike ja veebipoodide kaudu.
Uuring tuvastas, et nendel juhtumitel, kus varastati raha, oli ohvrite kantud kahjude valikuline keskmine väärtus 283 USA dollarit, samas kui iga viies (22%) kaotas üle 1000 USA dollari. Kõigest poolel (54%) finantskaotuste saajatest õnnestus taastada kõik varastatud vahendid, aga neljandikul (23%) neist ei õnnestunud taastada midagi.
Allikas: Kaspersky Labi pressiteade
Seotud lood
Aleksandr Kostin ja Sergei Astafjev, Placet Group OÜ (
laen.ee,
smsraha.ee) asutajad, on võtnud endale sihiks arendada ja edendada Eesti jalgpalli ja futsali ehk saalijalgpalli nii Tallinnas kui ka Ida-Virumaal. Nende juhitav MTÜ PG Sport on tuntud oma pühendumuse ja panuse poolest Eesti spordi edendamises, pakkudes uusi võimalusi noortele talentidele ja aidates kaasa spordi kultuuri arengule.