Kiberlaikapstākļi (DECEMBRIS)
Pieejami kiberlaikapstākļi par 2021.gada decembri. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.
Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī https://dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.
Krāpšana
DMARC pasargā no ļaundabīgiem e-pastiem
Decembrī CERT.LV publicēja brīdinājumu par jaunu ļaundabīgu e-pastu vilni, ko krāpnieki izplatīja SEB bankas vārdā. E-pastu pielikums saturēja AgentTesla vīrusu, kas izstrādāts paroļu un citas sensitīvas informācijas zagšanai no upura iekārtas. Krāpnieki sūtīja lietotājiem e-pastus no seb.lv domēna. Tā kā SEB banka šo domēnu ir aizsargājusi ar DMARC, tad e-pastu serveri, kas atbalsta mūsdienu standartus, šādus e-pastus atfiltrēja automātiski un tie gala lietotājus nesasniedza.
Vairāk: https://www.facebook.com/photo/?fbid=277092454460101&set=a.224332226402791
Krāpnieki draud apturēt bankas konta darbību
Decembra sākumā tika novērots krāpniecisku īsziņu (SMS) vilnis šķietami bankas Citadele vārdā. Īsziņu saņēmēji tika brīdināti par drošības apdraudējumiem, kuru rezultātā tikusi apturēta lietotāja bankas konta darbība. Lai atjaunotu konta darbību, lietotājs tika aicināts sekot saitei, kurā jāapliecina sava identitāte. Krāpnieku mērķis bija izgūt bankas konta piekļuves informāciju. Šādas SMS saņēma arī iedzīvotāji, kas nav bankas Citadele klienti.
Mēģinājumi lietotājus ievilināt apšaubāmas kvalitātes kriptovalūtas apmaiņās servisā
Tika saņemti vairāki ziņojumi no iedzīvotājiem par aizdomīgiem e-pastiem ar nosaukumu “Maksājuma apstiprinājums: mēs to pievienojam”, kur sliktā latviešu valodā saņēmējs tika aicināts apstiprināt / pieteikt Bitcoin atlikumu 10986,90 eur vērtībā. CERT.LV informēja lietotājus, ka tā ir krāpniecība ar mērķi ievilināt lietotājus apšaubāmas kvalitātes kriptovalūtas apmaiņās servisā. Kā arī tika ieteikts saņemto e-pastu dzēst.
Krāpnieki turpina tramdīt portāla ss.lv lietotājus
Decembrī turpināja uzdarboties krāpnieki, kas izlikās, ka vēlas iegādāties sludinājumu portālā ss.lv ievietotās preces. Saziņai ar ss.lv lietotājiem “pircēji” izmantoja lietotni WhatsApp, norādot, ka paši precei pakaļ ierasties nevar, bet apmaksu un piegādi veiks, izmantojot DPD, Omniva vai Latvijas Pasts starpniecību. Pārdevējam tika atsūtīta krāpnieciska saite, kurā “naudas saņemšanai” tika lūgts ievadīt gan pārdevēja informāciju, gan norēķinu kartes datus (tostarp maksājumu kartē pieejamo atlikumu un CVV kodu).
CERT.LV aicināja pievērst uzmanību interneta pārlūkprogrammā redzamajai vietnes adresei, kurā Pārdevējam it kā jāsaņem maksājums par pārdodamo preci. Parasti, aplūkojot vietnes adresi, ir uzskatāmi redzams, ka tā nav saistīta ar norādīto piegādes kompāniju.
Vairāk:
https://cert.lv/lv/2021/01/krapnieki-uzdarbojas-ari-omniva-varda
https://cert.lv/lv/2021/12/krapnieki-izmanto-ari-latvijas-pasts-vardu
Ļaunatūra un ievainojamības
Kritiska ievainojamība Apache Java Logging bibliotēkā Log4j
Decembrī tika atklāta kritiska (10 no 10) ievainojamība (CVE-2021-44228) plaši izmantotajā Apache Java Logging bibliotēkā Log4j. Ievainojamība sniedza uzbrucējiem iespēju veikt attālinātu koda izpildi (RCE) ievainojamajā iekārtā. Ietekmēts tika plašs produktu klāsts: Elasticsearch, Apache Struts / Solr / Druid / Flink, Kafka, Webex, Confluence, JIRA, Jitsi, Oracle u.c. Īsā laikā pēc ievainojamības atklāšanas tika konstatēta tās aktīva izmantošana uzbrukumos, to skaitā šifrējošo izspiedējvīrusu izplatīšanai. Situāciju sarežģīja biežā informācijas maiņa par dažādu paņēmienu, tajā skaitā atjauninājumu, efektivitāti ievainojamības ietekmes mazināšanā. Latvijā pagaidām nav konstatēti ar Log4j saistīti nopietni incidenti, taču CERT.LV turpina uzraudzīt situāciju un seko līdzi aktuālajai informācijai.
Vairāk: https://cert.lv/lv/2021/12/0-dienas-ievainojamiba-apache-java-logging-biblioteka-log4j
Vairāk kā 1,6 miljoni WordPress vietņu decembrī piedzīvojušas intensīvus uzbrukumus
Decembrī kibertelpā tika konstatēta pastiprināta hakeru interese par vairāk nekā 1,6 miljoniem WordPress vietņu, kas 36h laikā piedzīvoja 13,7 miljonus uzbrukumu no 16 000 dažādu IP adrešu. Uzbrukumu mērķis bija 4 ievainojami WordPress spraudņi (plugins) - Kiwi Social Share, WordPress Automatic, Pinterest Automatic un PublishPress Capabilities. Veiksmīga uzbrukuma gadījumā hakeriem pavērās iespēja pārņemt vietni savā varā un veikt tajā dažādas nesankcionētas darbības. Lai mazinātu šādu uzbrukumu risku – ieteicams savlaicīgi veikt WordPress vietnes un tajā izmantoto spraudņu atjaunināšanu.
Vairāk: https://www.wordfence.com/blog/2021/12/massive-wordpress-attack-campaign/
Beidzot pieejami atjauninājumi divām kritiskām 8 gadus vecām HP printeru ievainojamībām
Kiberdrošības pētnieki pasaulē 8 gadu laikā atklājuši vairākas ievainojamības, kas skar vismaz 150 dažādu modeļu Hawlett Packard (HP) multifunkcionālos printerus. 2021.gada novembrī HP beidzot publicējuši atjauninājumus divām no kritiskākajām ievainojamībām – CVE -2021-39237 (7,1 no 10) un CVE-2021-39238 (9,3 no 10). Pirmās ievainojamības ekspluatācijai ļaundarim ir fiziski jāatrodas ierīces tuvumā, savukārt otrā ievainojamība sniedz iespēju ļaundarim veikt attālinātā koda izpildi un inficēt visu tīklu, kuram iekārta pieslēgta.
Ielaušanās un datu noplūde
RedLine vīrusa kampaņas rezultātā nozagtas vairāk kā 441 000 paroles
Decembra beigās kiberdrošības pētnieks Bob Diachenko atklāja krāpnieku uzturētu serveri uz kura glabājās vairāk nekā 6 miljoni informācijas ierakstu, kas kopumā saturēja aptuveni 441 000 unikālas paroles no dažādiem servisiem, to vidū atrodamas arī galvenās paroles no LastPass paroļu pārvaldniekiem. Minētā informācija izgūta RedLine vīrusa kampaņas rezultātā pērnā gada rudenī. Nozagtās paroles šobrīd oficiāli pievienotas https://haveibeenpwned.com/ servisam, kur ikvienam lietotājiem, ievadot savu e-pastu, iespējams pārbaudīt, vai nav cietis RedLine vīrusa kampaņā.
Gadījumā, ja esat cietis RedLine vīrusa kampaņā – inficētā iekārta ir jāpārbauda ar atjauninātu antivīrusa programmu, kā arī obligāti jānomaina pilnīgi visas paroles un piekļuves informācija, kas glabāta uz šīs iekārtas.
Pakalpojuma pieejamība
Pakalpojuma atteices (DDoS) uzbrukumi paralizē skolas darbu
Tika saņemts ziņojums no kādas mācību iestādes par ilgstošiem pakalpojuma atteices jeb DDoS uzbrukumiem, kuru rezultātā tika traucēta skolas darbība. Līdzīgi ziņojumi no citām mācību iestādēm tika saņemti mācību gada sākumā. Vairākos gadījumos tika novērots, ka uzbrukumi veikti laika posmā starp pulksten 9:00 un 14:00, kad notiek aktīvākais mācību process. Tas ļauj izdarīt pieņēmumu, ka uzbrukumi ir skolu audzēkņu iniciēti un to veikšanai, iespējams, tiek izmantoti maksas DDoS pakalpojumi. Ar līdzīgiem izaicinājumiem saskaras mācību iestādes arī citviet Eiropā.
Lietu internets
Būtiski incidenti netika reģistrēti.