☰

Kiberlaikapstākļi (AUGUSTS)

Pieejami kiberlaikapstākļi par 2021. gada augustu. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.

Krāpšana

Krāpnieciski e-pasti banku vārdā

Tika saņemta informācija par krāpnieciskiem e-pastiem, kas tika izplatīti bankas Citadele un, iespējams, arī citu banku vārdā. E-pastos tika apgalvots, ka tiks atjaunināts bankas drošības pakalpojums un e-pasta saņēmējam nepieciešams apstiprināt savu identitāti, ievadot bankas piekļuves datus krāpnieciskajā vietnē, uz kuru aizveda e-pastā norādīta leģitīma izskata saite. CERT.LV aicināja būt uzmanīgiem, un pirms jebkādu datu ievadīšanas pārbaudīt sūtītāja adresi (From lauku), kā arī e-pastā iekļauto saiti, pirms noklikšķināšanas uzbraucot tai ar peli un aplūkojot domēna vārdu, kas parādās interneta pārlūka vai e-pasta klienta kreisajā apakšējā stūrī. Ja dati krāpnieciskajā vietnē tika ievadīti, nekavējoties jāinformē sava banka.

Vairāk: https://www.facebook.com/certlv/posts/4233237886713272

Viltus e-pasti par sūtījuma piegādi

Cilvēkiem turpinot aktīvi iepirkties tiešsaistē, arī krāpnieki nesnauž. Piegādes uzņēmuma Omniva vārdā tika izsūtīti krāpnieciski e-pasti ar paziņojumu par traucētu sūtījuma piegādi un aicinājumu norādīt korektu piegādes adresi, kā arī veikt sūtījuma uzglabāšanas apmaksu nepilnu 3 eiro apmērā, ievadot maksājumu kartes datus (arī CVV kodu) krāpnieku norādītajā vietnē. Pārbaudot sūtītāja e-pasta adresi, kas šoreiz bija contact@omnivalatvia.lv, varēja pārliecināties, ka tai nav nekādas saistības ar reālo sūtījumu piegādes uzņēmumu Omniva, kura domēna vārds ir omniva.lv.

Telefonkrāpnieki uzdodas par tiesībsargājošo iestāžu pārstāvjiem

Krāpnieki zvanīja iedzīvotājiem un stādījās priekšā kā policijas vai personas datu aizsardzības organizācijas darbinieki, no iedzīvotājiem mēģinot iegūt bankas kontu pieejas un personu datus. Ja zvana saņēmējs attiecās sadarboties, tika draudēts ar sodu par naudas atmazgāšanu. Vienā šādā krāpniecības gadījumā krāpniekiem izdevās izkrāpt no kādas personas vairāk nekā desmit tūkstošus eiro. Valsts policija atkārtoti brīdināja iedzīvotājus par telefonkrāpnieku lielo aktivitāti. CERT.LV, Valsts policija un bankas jau vairākkārtēji ir uzsvērušas, ka nedz tiesībsargājošās iestādes, ne banku darbinieki nekad nezvanīs un nelūgs nosaukt internetbankas piekļuves datus, kā arī nelūgs lejupielādēt attālinātās piekļuves programmas.

Vairāk:
https://www.vp.gov.lv/lv/jaunums/telefonkrapnieki-uzdodas-par-policijas-parstavjiem
https://www.seb.lv/info/drosiba/krapnieku-triki-jums-draud-sods-par-naudas-atmazgasanu

Iedzīvotāji turpina zaudē apjomīgas naudas summas

Krāpnieki turpināja uzdoties par banku pārstāvjiem, kā arī piedāvāt investīcijas kriptovalūtā. Uzticoties viltus banku darbiniekiem, viens iedzīvotājs zaudējis 8000 eiro, bet otrs 4200 eiro, savukārt cerot uz iespējām nopelnīt, izmantojot kriptovalūtu, kāds cits iedzīvotājs zaudēja 20 000 eiro. Policija aicināja iedzīvotājus būt uzmanīgiem, un, ja zvanītāji steidzina un mudina pieņemt ātrus, nepārdomātus lēmumus, pārtraukt sarunu.

Vairāk: https://www.vp.gov.lv/lv/jaunums/aizvaditaja-diennakti-no-iedzivotajiem-izkrapti-vairak-neka-33-tukstosi-eiro

Ļaunatūra un ievainojamības

Bankas vārdā izsūtītos e-pastos izplata vīrusu

Tika saņemta informācija par Swedbank vārdā izsūtītiem e-pastiem par kādu it kā veiktu darījumu, norādot, ka maksājuma dokuments atrodas pielikumā. E-pastam pievienotais pielikums saturēja AgentTesla vīrusu, kas ievāca informāciju no upura datora, kā piemēram, pārlūkprogrammās saglabātos lietotāja piekļuves datus, starpliktuvē (clipboard) esošo informāciju un tml. CERT.LV aicināja būt vērīgiem un vienmēr pievērst uzmanību e-pasta pielikumā pievienotā dokumenta paplašinājumam - burtiem, kas seko aiz pēdējā punkta dokumenta nosaukumā labajā pusē (šoreiz tas bija .ISO). ISO ir arhīvs jeb failu formāts, kas tiek izmantots programmatūras, piemēram, vīrusu, izplatīšanai. 

Vairāk: https://twitter.com/certlv/status/1425807213256445962

Kamēr serveru uzturētāji snauž, tikmēr uzbrucēji uzdarbojas

Uzbrucēji aktīvi izmantoja ievainojamības neatjauninātos Microsoft Exchange e-pasta serveros. Uzbrukumos izmantotais ProxyShell ievainojamību komplekts ļāva tiem bez autorizācijas veikt attālinātu koda izpildi uz ievainojamām iekārtām. Visbiežāk šīs ievainojamības tika izmantotas, lai inficētu sistēmas ar izspiedējvīrusu un pieprasītu izpirkuma maksu par datu atgūšanu. Ielāpi konkrēto ievainojamību novēršanai bija pieejami jau Microsoft publicētajos maija atjauninājumos, taču daudzi tos joprojām nebija uzstādījuši..

Vairāk:
https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-scanned-for-proxyshell-vulnerability-patch-now/
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-being-hacked-by-new-lockfile-ransomware/

Kritisks caurums datubāzu pārvaldības risinājumā Cosmos DB

Tika atklāta kritiska ievainojamība Microsoft datubāzu pārvaldības risinājumā Cosmos DB. Ievainojamība ļāva uzbrucējiem attālināti un bez autorizācijas iegūt pilnīgu kontroli pār datubāzēm, sniedzot iespēju informāciju izgūt, mainīt vai pilnībā dzēst. Microsoft Azure lietotāji, kas izmanto Cosmos DB, tiek aicināti veikt primāro atslēgu nomaiņu. To ieteicams darīt pat ja šobrīd nav informācijas par to, ka kāda trešā puse būtu piekļuvusi attiecīgo lietotāju datiem, jo pastāv iespēja, ka uzbrucēji ir ieguvuši šīs atslēgas, kas sniedz neierobežotu attālinātu piekļuvi Microsoft Azure lietotāju kontiem, un izmantos tās vēlāk.

Vairāk: https://heimdalsecurity.com/blog/microsoft-azure-customers-warned-of-critical-bug-found-in-cosmos-db/

Pele ļauj pārņemt kontroli

Iekārtu konfigurācijas rīka Razer Synapse ievainojamība ļāva iegūt administratora līmeņa piekļuves tiesības iekārtās ar Windows 10 operētājsistēmu, pievienojot tām Razer datorpeli vai klaviatūru. Razer Synapse programmatūra tiek automātiski lejupielādēta iekārtā pēc Razer datorpeles vai klaviatūras, kas bieži tiek izmantotas priekš datorspēlēm, pievienošanas, lai lietotājs varētu pielāgot iekārtu savām vajadzībām, piemēram, mainot taustiņu izvietojumu. Jaunatklātā Razer Synapse ievainojamība sniedza lietotājiem iespēju ātri iegūt daudz plašāku pieeju iekārtai, ļaujot uzstādīt arī jebkādu programmatūru, piemēram, vīrusu. Drošības eksperti brīdina par līdzīgu problēmu iespējamību arī citu ražotāju programmatūras uzstādīšanas gadījumos, kad tiek izmantota Windows ātrās uzstādīšanas jeb plug-and-play funkcionalitāte.

Vairāk: https://www.bleepingcomputer.com/news/security/razer-bug-lets-you-become-a-windows-10-admin-by-plugging-in-a-mouse/

Internetā pieejama REvil izspiedējvīrusa atšifrēšanas atslēga

Šoreiz arī kāda reti priecīga ziņa - internetā pieejama REvil izspiedējvīrusa atšifrēšanas atslēga. Konkrētā atslēga gan izmantojama tikai Kaseya incidentā cietušo organizāciju datu atgūšanai.

Vairāk: https://threatpost.com/kaseyas-master-key-to-revil-attack-leaked-online/168565/ 

Pakalpojuma pieejamība

Traucējumi tiešsaistes platformas e-Saeima darbībā

Tika saņemts ziņojums par traucējumiem Saeimas tiešsaistes platformas e-Saeima darbībā Saeimas ārkārtas sēdes laikā 4. augustā. CERT.LV sadarbībā ar Saeimas drošības biroju veica tehnisko datu padziļinātu analīzi. Tās rezultāti ļāva secināt, ka ārēja ietekme uz tiešsaistes platformas e-Saeima sistēmu nav notikusi. Īslaicīgus e-Saeimas darbības traucējumus radīja iekšējo sistēmu darbības īpatnības.

Vairāk: https://www.lsm.lv/raksts/zinas/latvija/saeimas-parstavji-ludz-skaidrot-vai-interneta-parravumi-arkartas-sede-bija-kiberuzbrukums.a415777/

Rīgas mērs zaudē piekļuvi savam Instagram kontam

Rīgas mērs Mārtiņš Staķis uz 35 stundām zaudēja piekļuvi savam Instagram kontam. Ar CERT.LV un Facebook atbalstu kontu izdevās atgūt. Rīgas mērs izteica minējumu, ka konts netika uzlauzts, bet cieta troļļu uzbrukumā, kuri iesniedza Instagram masveida ziņojumus par neadekvātu saturu, un konts tika automātiski bloķēts. Kibernoziedznieki pēc populāru kontu pārņemšanas tos parasti izmanto, lai izplatītu ļaunatūru, saites uz viltus interneta veikaliem vai tamlīdzīgi.

Vairāk: https://jauns.lv/raksts/zinas/458957-rigas-mers-stakis-piedzivojis-pirmo-lielo-kiberuzbrukumu-aizdomas-krit-uz-lukasenko-trolliem

Ielaušanās un datu noplūde

50 miljonus vērtie dati

Globālais IT konsultāciju gigants Accenture cieta LockBit izspiedējvīrusa uzbrukumā. Accenture sniedz konsultācijas enerģētikas kompānijām, valsts sektoram, bankām, telekomunikāciju uzņēmumam un daudziem citiem visā pasaulē. Uzbrucēji pieprasīja 50 miljonus ASV dolāru lielu izpirkumu par nozagto datu nepublicēšanu, kā arī paziņoja, ka gatavi pārdot uzbrukumā iegūtos 6 TB datu interesentiem.

Vairāk: https://www.bleepingcomputer.com/news/security/accenture-confirms-hack-after-lockbit-ransomware-data-leak-threats/

Lietu internets

Būtiski incidenti netika reģistrēti.