☰

Iznākušas nedēļas ziņas par drošības incidentiem Nr. 11-2017

WannaCry vīrusam radīta pārlūka versija

Latvijā WannaCry izplatība ir samazinājusies, pēdējās nedēļas laikā ziņots par vienu jaunu gadījumu, taču WannaCry vārdu izmanto, lai apmuļķotu lietotājus. Piemēram, CERT.LV saņēma informāciju, ka lietotāja dators ir inficēts ar WannaCry, taču izrādījās, ka inficēts ir tikai pārlūks, kas rāda viltus paziņojumu, līdzīgi kā to darīja Policijas vīruss. Tāpat Google Play un App Store tiek piedāvātas mobilās aplikācijas, kas pasargā no vīrusa, taču šādas aplikācijas ir maldinošas, jo WannaCry izplatās tikai Microsoft vidē. Tāpat lietotājiem tiek piedāvāti viltus atjauninājumi, lai it kā novērstu WannaCry izplatības iespēju.

CERT.LV ir apzinājis WannaCry vīrusa apdraudētās IP adreses. Informācija par šīm IP adresēm nodota interneta pakalpojumu sniedzējiem, kas iniciatīvas „Atbildīgs interneta pakalpojumu sniedzējs” ietvaros sadarbojas ar CERT.LV. Atbildīgie pakalpojumu sniedzēji par apdraudējumu informē savus lietotājus.

"Atbildīgs interneta pakalpojumu sniedzējs" saraksts: https://cert.lv/lv/interneta-pakalpojumu-sniedzejiem/atbildigs-ips

Izplata krāpnieciskus e-pastus ministru prezidenta vārdā

CERT.LV brīdināja valsts iestādes, ka Latvijas ministru prezidenta vārdā izsūtīti viltoti e-pasti, kuros aicināts sniegt paskaidrojumus par nodokļu reformas virzību. E-pasts bija noformēts kā pārsūtīts Eiropas Komisijas jautājums, bez konkrētas amatpersonas paraksta. E-pasta sūtīšanai tika izmantoti Gmail serveri.

Noticis uzbrukums valsts iestādes portālam

Tika konstatēts uzbrukums kādam valsts iestādes portālam, kurš uz laiku tika padarīts nepieejams. Kļuvis zināms, ka visas dienas garumā bija veikts plānveida uzbrukums, izmantojot kādu hakera rīku, lai atrastu ievainojamību portālā. Ap pl. 23:12 uzbrukums iegāja DOS fāzē, kas izraisīja portāla nepieejamību. Savukārt kādas citas iestādes portālam tika uzbrukts no Turcijas IP adreses. Pretpasākumi veikti, bloķējot konkrētu IP adrešu apgabalu, no kura tika veikts uzbrukums.

Mēģina izkrāpt naudu no uzņēmuma

CERT.LV saņēma informāciju par notikušu CEO scam incidentu kādā uzņēmumā. Ļaundariem izdevās pārtvert e-pastus un nosūtīt klientam informāciju ar nekorektu konta numuru. Veicot e-pasta analīzi, tika noskaidrots, ka tas izsūtīts no Čehijas servera, kā arī replay-to adrese nepiederēja uzņēmumam. CERT.LV secināja, ka uzņēmuma partneru e-pasts visdrīzāk ir uzlauzts, tāpat uzņēmuma e-pasta serverim nav uzstādīti SPF ieraksti, kas ļauj izsūtīt e-pastu uzņēmuma domēna vārdā no jebkura servera. Pastāv iespēja, ka kompromitēts bija arī uzņēmuma e-pasta serveris. CERT.LV ieteica nomainīt paroles darbinieku e-pastam un pārbaudīt, vai ļaundari nav salikuši e-pasta pārsūtīšanas filtrus vai izveidojuši jaunus e-pasta kontus.