Kiberlaikapstākļi (MARTS)
Pieejami kiberlaikapstākļi par 2021. gada martu. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS Ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS Ugunsmūra lietotājus. DNS Ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
Krāpnieciski e-pasti “Latvijas Pasta” vārdā
Marta vidū VAS Latvijas Pasts vārdā tika masveidā izplatīti krāpnieciski e-pasti ar mērķi nozagt lietotāju norēķinu karšu datus. E-pasts tika sūtīts no adreses, kas izskatījās pēc oriģinālā VAS Latvijas Pasts e-pasta, taču tā bija viltota. E-pastā atrodamā saite veda uz pikšķerēšanas vietni, kurā tika lūgts apmaksāt muitas nodokli par aizturētu sūtījumu. CERT.LV aicināja iedzīvotājus būt modriem un neuzķerties!
Vairāk: https://cert.lv/lv/2021/03/krapnieciski-e-pasti-vas-latvijas-pasts-varda
Krāpnieki imitē populārus loģistikas uzņēmumus
Arī martā krāpnieki mēģināja izkrāpt norēķinu karšu datus, imitējot populārus loģistikas uzņēmumus – DPD Latvija, Omniva Latvija un citus.
Krāpnieki uzrunāja tos iedzīvotājus, kuri dažādās interneta tirdzniecības platformās, piemēram, ss.lv vai reklama.lv, bija izvietojuši savas preces pārdošanai. Krāpnieki izlikās, ka grib iegādāties konkrēto preci, izmantojot kurjera pakalpojumus. Sarakstes laikā iedzīvotājiem tika nosūtīta viltus interneta vietnes saite, kas vizuāli atgādināja DPD Latvija vai Omniva Latvija interneta mājaslapu. Tajā iedzīvotāji tika aicināti ievadīt norēķinu kartes datus, lai saņemtu apmaksu par preci attālināti. Arī šajā gadījumā krāpnieku mērķis bija iegūt personu norēķinu karšu datus un finanšu līdzekļus.
Vairāk: https://cert.lv/lv/2021/01/krapnieki-uzdarbojas-ari-omniva-varda
SEB bankas vārdā tiek izplatīti pikšķerēšanas e-pasti
Martā CERT.LV turpināja saņemt ziņojumus no iedzīvotājiem par krāpnieciskiem e-pastiem it kā SEB Latvia vārdā. E-pastā lietotājs tika informēts par atceltu bankas pārskaitījumu. Elektroniskajā vēstulē tika norādīta saite, kurā iespējams sekot līdzi maksājuma procesam. Saite veda uz pikšķerēšanas vietni, kas atgādināja īsto SEB Latvia mājaslapu.
CERT.LV pateicās visiem ziņotājiem par modrību un iniciatīvu, kas palīdzēja CERT.LV operatīvi sazināties gan ar vietņu uzturētājiem par saišu slēgšanu, gan par to ievietošanu DNS ugunsmūrī, lai pasargātu mūra lietotājus.
Vairāk: https://www.facebook.com/certlv/photos/pcb.3796540170383048/3796482433722155/
Ļaunatūra un ievainojamības
Četras kritiskas ievainojamības Microsoft Exchange serveros
Martā CERT.LV aicināja iestādes un uzņēmumus veikt savu Microsoft Exchange serveru pārbaudi un atjaunināšanu saistībā ar marta sākumā konstatētajām 4 kritiskajām ievainojamībām MS Exchange serveros.
Veiksmīga uzbrukuma gadījumā uzbrucēji ne vien varēja iegūt darbinieku e-pastu piekļuves datus, piekļuvi e-pastu sarakstēm un adrešu grāmatiņai, bet arī iet soli tālāk un veikt darbības, kas kompromitētu visu uzņēmuma tīkla infrastruktūru. Ietekmētas bija visas aktuālās, lokālās (on-premises) MS Exchange versijas. Uzbrukums tika vērsts pret tīmekļa komponenti (OWA un ECP).
Vairāk: https://cert.lv/lv/2021/03/uzbrukumi-kas-versti-pret-microsoft-exchange-serveriem
Kritiska Cisco Nexus ievainojamība
Marta sākumā tika publicēta informācija par kritisku ievainojamību, kas ļauj attālināti veidot, dzēst vai pārrakstīt failus ar administratora jeb “root” tiesībām Cisco Nexus iekārtās (CVE-2021-1361). Ievainojamībai piešķirts CVSS (Common Vulnerability Scoring System) līmenis - 9.8 no maksimāli iespējamā - 10. Ietekmētas ir šādas iekārtas: Cisco Nexus 3000 Series Switches un Cisco Nexus 9000 Series Switches in standalone NX-OS mode.
CERT.LV aicināja veikt minēto iekārtu programmatūru atjauninājumus. Gadījumos, ja atjauninājums nav pieejams, CERT.LV ieteica bloķēt TCP portu 9075 līdz iekārta tiks atjaunināta.
Šifrējošie izspiedējvīrusi turpina paralizēt Latvijas uzņēmumus
Kāds Latvijas loģistikas uzņēmums martā kļuva par Avaddon izspiedējvīrusa upuri, kas daļēji paralizēja uzņēmuma darbību un kavēja plānotās piegādes. CERT.LV konsultēja uzņēmumu pierādījumu vākšanā un incidenta analīzē, kas norit joprojām.
Nedēļu vēlāk šifrējošā izspiedējvīrusa uzbrukumā cieta vēl viens Latvijas uzņēmums. Uzbrukuma rezultātā tika sašifrēti vairāki serveri un darbstacijas, kā arī daļēji cietušas rezerves kopijas. Uzņēmums piesaistīja ārējos ekspertus incidenta analīzei un seku novēršanai, kā arī informēja CERT.LV par notikušo un lūdza papildu konsultāciju.
Facebook lietotāji tiek “ietagoti” pie ļaundabīgām ziņām
Marta sākumā masveidā tika saņemti ziņojumi no Facebook lietotājiem par aizdomīgu krāpšanas kampaņu, kuras ietvaros viņi tikuši no draugu un paziņu profiliem “ietagoti” pie šaubīga satura ziņām. Ziņas parasti aicināja ietagotos lietotājus “neticami nopelnīt” vai “uzzināt kā palielināt savu peļņu” utt. Minētajai kampaņai tika novēroti vairāki scenāriji, kur vienā no versijām lietotājs, uzklikšķinot ziņai, tiek pāradresēts uz Facebook līdzīgu pikšķerēšanas vietni un tiek aicināts ielogoties. Savukārt citos gadījumos ziņas saturēja saiti, uz kuras uzspiežot, parādās logs ar paziņojumu par nepieciešamību lejupielādēt šķietami nevainīgus atjauninājumus (piemēram, Flash player u.c.). Rezultātā lietotājs tika inficēts ar ļaunatūru sensitīvas informācijas zagšanai un zaudēja piekļuvi savam Facebook kontam. No uzlauztā profila tālāk pie līdzīgām ziņām tika ietagoti citi lietotāja kontakti.
Pakalpojuma pieejamība
Uz 6h apturēta dzelzceļa kustība
19.martā Latvijas Dzelzceļš savā Twitter kontā dalījās ar informāciju par to, ka mikroprocesora bojājuma dēļ kavēta vilcienu satiksme Rīgas Centrālajā dzelzceļa stacijā. Sākotnēji tika prognozēts, ka aizkavēšanās laiks būs 30 min, taču vilcienu satiksmi pilnībā izdevās atjaunot tikai pēc 6h. Problēmu iemesli šobrīd vēl tiek skaidroti starp Latvijas Dzelzceļu un iekārtu ražotāju.
Uz brīdi traucēta Facebook un tam piederošo servisu darbība
19.martā cilvēki visā pasaulē un arī Latvijā piedzīvoja Facebook un tam piederošo servisu – Instagram, WhatsApp, Messenger – darbības traucējumus, kas ilga aptuveni stundu. Šajā laikā šo platformu lietotāji nevarēja saņemt aktuālās ziņas un apskatīt jaunākās publikācijas ziņu lentēs. Facebook nav sniedzis komentārus, kas tieši izraisījis šādus traucējumus.