CERT.LV darbības pārskats par 2020. gadu
Publicēts CERT.LV darbības pārskats par 2020. gadu (PDF).
Pārskatā iekļauta vispārpieejama informācija, un tas nesatur informāciju par tiem CERT.LV darbības rezultātiem, kas satur ierobežotas pieejamības informāciju. Pārskatam ir tikai informatīva nozīme.
Kopsavilkums
2020. gadā Latvija piedzīvoja vairākus izaicinājumus – strauju pielāgošanos attālinātajam darbam, virkni īpaši pielāgotu krāpšanas kampaņu un inovatīvus kiberuzbrukumus. Īpaši audzis kiberuzbrukumu skaits privātpersonu iekārtām mājsaimniecībās – privātajiem datoriem, maršrutētājiem, viedajiem televizoriem u.c. Salīdzinot ar pirms-pandēmijas periodu, uzbrukumu skaits audzis par 15-30%. Periodiski tika novēroti kiberuzbrukumi arī pret attālinātā darba instrumentiem, piemēram, virtuālo privāto tīklu jeb VPN (Virtual Private Network) un attālinātās piekļuves jeb RDP (Remote Desktop Protocol) tehnoloģijām – pieaugums par aptuveni 20%. Tika novērots arī ar pandēmiju nesaistītu krāpniecisku kampaņu pieaugums. Mērķauditorija šādās kampaņās pārsvarā bija gala lietotāji, savukārt mērķis – autentifikācijas datu izgūšana.
Pārskata periods izcēlās ar vairāku īpaši kritisku ievainojamību atklāšanu. Šis bija pirmais gads, kad šāds kritisku ievainojamību apjoms atklāts viena gada ietvaros. Uzbrucēji vairākas no šīm ievainojamībām veiksmīgi pielietoja uzbrukumos līdz atbilstošu atjauninājumu publicēšanai. CERT.LV veica potenciāli ievainojamo sistēmu apzināšanu valsts sektorā, informēja sistēmu uzturētājus, sniedza ieteikumus ievainojamību novēršanā un atbalstu incidentu risināšanā.
Steidzamības kārtā, ko diktēja COVID-19 pandēmijas straujā izplatība, virknē uzņēmumu un organizāciju tika pieļauti kompromisi attiecībā uz drošību, lai spētu pēc iespējas ātrāk pārslēgties uz pilnvērtīgu attālināto darbu. Neatbilstoši konfigurētas RDP piekļuves bija apdraudējums
arī pirms-pandēmijas periodā, un pandēmijas apstākļos problēma tikai saasinājās. Uzbrucēji izmantoja gan nepietiekami aizsargātus RDP servisus, gan VPN vārtejas, lai kompromitētu sistēmas un piekļūtu uzņēmumu un organizāciju iekšējiem tīkliem. Biežākā problēma izrādījās nepietiekami drošu paroļu izvēle, kuras uzbrucējiem izdevās uzminēt vai piemeklēt, kā arī neatjaunotas VPN iekārtas un papildu drošības mehānismu neesamība.
Uzbrucēji turpināja izmantot iedzīvotāju nepietiekamās zināšanas un izpratnes trūkumu par vairākfaktoru autentifikācijas mehānismu darbību. Aktīvā uzbrukumu kampaņā iedzīvotāji saņēma telefona zvanus, kuros krāpnieki uzdevās, galvenokārt par banku vai Smart-ID darbiniekiem,
lai panāktu otrā faktora apstiprināšanu un izkrāptu finanšu līdzekļus. Ticamības palielināšanai krāpnieki veiktajos zvanos viltoja banku telefona numurus.
Sociālajiem tīkliem ieņemot arvien lielāku lomu sabiedrības (arī iestāžu) komunikācijā, krāpnieki savā kontrolē centās pārņemt iestāžu un uzņēmumu kontus ar gana lielu lietotāju skaitu, lai tos izmantotu dažādu produktu vai pakalpojumu reklamēšanai, galvenokārt Tālo Austrumu reģionā. Krāpnieki izmantoja iebiedēšanas taktiku, izliekoties par sociālā tīkla administrāciju un draudot ar konta darbības apturēšanu lietošanas noteikumu pārkāpuma dēļ. Pieeja vairāku iestāžu kontiem tika zaudēta, kontu administratoriem ievadot piekļuves datus krāpnieku sagatavotajās vietnēs (nevienā no kontiem līdz tam netika izmantota divu faktoru autentifikācija).
Tika novērota jauna tendence ar izspiešanu saistītajos uzbrukumos. Apjomīgi (līdz pat 180 Gb/s) piekļuves atteices (DDoS) uzbrukumi tika vērsti pret finanšu institūcijām un lielajiem uzņēmumiem. Uzbrucēji pieprasīja izpirkuma maksu par uzbrukumu pārtraukšanu, draudot apturēt uzņēmuma darbību ar atkārtotu uzbrukumu līdz pat 2 Tb/s. Iebiedēšanas uzbrukumi gan neilga vairāk par dažām dienām, biežāk tie ilga mazāk par stundu. Atkārtoti uzbrukumi lielākajā daļā gadījumu nesekoja. Ja uzņēmums neuzsāka komunikāciju ar izspiedējiem, uzbrucēji zaudēja interesi un mainīja mērķi.
Ielaušanās gadījumos, kad uzbrucējiem bija izdevies iekļūt sistēmā, izmantojot, piemēram, nepietiekami aizsargātu attālinātās piekļuves servisu (RDP) vai VPN vārteju, uzbrucēji pieprasīja izpirkuma maksu ne tikai par nošifrēto datu atgūšanu, bet arī par datu nenopludināšanu (pirms nošifrēšanas tika veikta datu kopēšana).
2020. gada otrajā pusē bija vērojama strauja ļaunatūras Emotet izplatība gan globālajā, gan Latvijas tīmeklī. Ļaunatūra no inficētās iekārtas izplatīja sevi upura kontaktu lokam, palielinot ļaundabīgo e-pastu uzticamību ar sarakstes fragmentiem, kas iegūti no upura iekārtas, kā arī veica inficētajā iekārtā citas ļaundabīgas darbības. Latvijā īsā laika periodā ar Emotet tika inficētas vairāk nekā 200 organizācijas, kurās tika zaudēta kontrole pār e-pastu sarakstēm un citu informāciju. Ir paredzams, ka pēc gada vai ilgāka perioda iegūtā informācija var parādīties atkārtotos uzbrukumos vai tikt izmantota citās mērķētās ļaundabīgās kampaņās.
Kopumā pārskata periodā CERT.LV reģistrēja 346 108 apdraudētas unikālās IP adreses. Pārskata periodā nav novērotas būtiskas svārstības apdraudēto IP adrešu apjomā.