30. septembris, 2020

Brīdinājums uzņēmumiem un iestādēm par naudas izspiešanas mēģinājumiem

computer hacker

Pēdējo nedēļu laikā kļuvuši aktuāli naudas izspiešanas mēģinājumi, draudot apturēt uzņēmuma mājas lapu vai citu resursu, kas nodrošina uzņēmuma darbību. Šāda veida uzbrukumi vienlaicīgi notiek vairākās Eiropas valstīs. Naudas izspiešanas mēģinājumi mērķēti gan uz finanšu institūcijām, gan uz citiem privātā sektora uzņēmumiem.

Kā darbojas uzbrucējs?

Uzbrucējs izsūta draudu e-pastu, kurā uzdodas par Armada Collective, Cozy Bear, Fancy Bear vai Lazarus Group, un pieprasa maksājumu uz kriptovalūtas maciņu. Atteikuma gadījumā sola apturēt uzņēmuma darbību, veicot liela apjoma izkliedēto piekļuves lieguma (DDoS) uzbrukumu. Iebiedēšanas nolūkos noziedznieki veic testa uzbrukumu (20-100 Gbps), pēc kura izsūta atkārtotu brīdinājumu par vēl apjomīgāku uzbrukumu (pēc noziedznieku vārdiem – līdz 2 Tbps), ja netiks veikts maksājums.

Uzbrukuma datu plūsma tiek ģenerēta, izmantojot virkni UDP-bāzētu protokolu: DNS, NTP, CLDAP, WS-Discovery, GRE, SNMP, pielietojot plūsmas amplifikāciju, lai palielinātu atteices efektu un slēptu patiesos uzbrukuma avotus.  Bieži vien, neskatoties uz biedējošiem e-pastiem, atkārtoti uzbrukumi neseko, un gadījumā, ja pieprasītais izpirkums netiek samaksāts, uzbrucēji maina mērķi.

Novēroto uzbrukumu apjoms strauji pieaug – septembra beigās Eiropā fiksēti uzbrukumi, kas pārsniedza 100 Gbps, taču jāņem vērā, ka realizētie uzbrukumi neilgst vairāk par dažām dienām (biežāk – mazāk par stundu). Ja uzbrukuma mērķis nav izrādījis vēlmi “sadarboties” un nemaksā, uzbrucēji pārvirza uzmanību un resursus uz nākamo mērķi.

Ko iesaka CERT.LV?

  1. Nekomunicēt ar izspiedējiem un nemaksāt izpirkuma maksu, jo tas neatturēs uzbrucējus, bet tieši pretēji – veicinās atkārtotus uzbrukumus nākotnē, jo būs gūts apliecinājums, ka attiecīgais mērķis ir spējīgs un gatavs maksāt.
  2. Izstrādāt rīcības plānu piekļuves lieguma uzbrukumu gadījumiem.

Rīcības plānam būtu jāiekļauj šādi soļi:

  1. Apzināt uzņēmuma resursus, kas ticamāk varētu tikt pakļauti šāda veida uzbrukumiem (parasti – mājaslapa, API serveri, DNS u.c.).
  2. Noskaidrot iespējas iegādāties DDoS aizsardzības risinājumu no sava internet pakalpojumu sniedzēja. Automatizēti DDoS aizsardzības rīki lielākoties tiks galā ar kaitīgo datu plūsmu, kā arī spēs novērst sarežģītus uzbrukumus, izmantojot datu plūsmas attīrīšanu. 
  3. Spēt vajadzības gadījumā operatīvi migrēt mājas lapu (vai citu svarīgo resursu) uz DDOS uzbrukumu noturīgu mākoņpakalpojumu kā Cloudfare, Amazon, Akamai vai citu – pilnīgi vai daļēji (CDN / “reverse proxy” režīmā).
    Jāņem vērā mākoņpakalpojuma aktuālais piedāvājums – gan tehniskais (kāda veida aizsardzība iekļauta), gan finansiālais.
    Mākoņpakalpojumu var aizstāt arī ar pašu spēkiem nodrošinātu slodzes izlīdzinošu (load balancing) risinājumu – piemēram, uz nginx vai HAProxy bāzes, bet jāpievērš uzmanība tam, lai:
    • gala (edge) atrastos dažādos datucentros ar neatkarīgiem tīkla pieslēgumiem,
    • datu centru interneta pieslēgumi spētu apstrādāt lielāku datu plūsmu, nekā sagaidāmais DDoS apjoms,
    • nepieciešamības gadījumā šos serverus varētu ātri aizvietot, pielāgojoties nepieciešamajiem datu apjomiem (auto-scaling),
    • pēc iespējas balansēt datu plūsmu – ja vairums klientu parasti nāk no zināma reģiona (piem., Latvijas), var veikt datu plūsmas balansēšanu DNS līmenī, t.i. pamatreģiona lietotājus novirzīt uz citiem serveriem, nekā lietotājus, kas slēdzas no citiem reģioniem, sagaidot, ka vairums DDoS datu plūsmas iekļausies otrajā grupā.
      Izmantot kādamraides tehnoloģiju (anycast) – servisu uzturot vairākos datu centros un veicot datu plūsmas balansēšanu BGP (Border Gateway Protocol) līmenī.
  4. DNS zonā norādīt pietiekami mazu TTL (time to live), lai nepieciešamības gadījumā veiktās izmaiņas laicīgi stātos spēkā.
  5. Noskaidrot, kādu palīdzību var sniegt Internet Pakalpojumu sniedzējs, piemēram:
    • vai internet pakalpojumu sniedzējs var daļēji atslēgt resursu, kam uzbrūk, no tiem starpsavienojumiem, caur kuriem nāk uzbrukums, saglabājot pieslēgumu, piemēram, tikai Latvijas lietotājiem. Īpaši gadījumā, ja jums ir sava autonomā sistēma un interneta pakalpojumu sniedzēja neatkarīgs IP adrešu apgabals.
    • izflirtēt “slikto“ datu plūsmu (piem., mājaslapas gadījumā – iespējams var filtrēt visu UDP datu plūsmu vai arī ierobežot pieprasījumu skaitu atipiski lielām [>= 400 bytes] UDP paketēm, kas var liecināt paramplifikācijasuzbrukumu).

Jebkurš uzņēmums, iestāde vai organizācija var kļūt par šādu uzbrukumu mērķiem. Kamēr būs upuri, kuri maksās uzbrucējiem, šis biznesa modelis nekur nepazudīs. Tādēļ ir svarīgi apzināties savas rīcības ietekmi un laicīgi apzināt riskus un to novēršanu.

Padalies ar šo ziņu sociālajos tīklos

Jānis Alksnis

Esmu moderno tehnoloģiju entuziasts ar ilggadēju un plašu pieredzi dažādās informāciju tehnoloģiju jomās, ar savu skatījumu uz lietu kārtību.

Spiediet šeit, lai atstātu komentāru

Vieta komentāram


Piedāvātais serviss ietver diskusijas un komentārus, kas atļauj mijiedarboties lietotājiem. Vietnes autors nekontrolē ziņojumus, informāciju un failus, kas tiek piegādāti ziņojumu dēlim. Lietojot šo servisu Jūs piekrītiet sekojošiem noteikumiem:

  • Jūs nedrīkstat traucēt citus lietotājus, saskaņā ar LR civillikumu.
  • Aizliegts nosūtīt, publicēt jebkāda veida nelikumīgu, draudošu, aizskarošu, apmelojošu, neslavu ceļošu, neķītru, vulgāru, pornogrāfisku, zaimojošu un piedauzīga rakstura informāciju t.s. bildes.
  • Jūs nedrīkstiet nosūtīt, publicēt informāciju, programmas vai jebkāda veida materiālus, kas aizsargāti ar LR likumu par autortiesībām.
  • Aizliegts nosūtīt, publicēt datus, kas var saturēt datorvīrusus vai arī datus, kas var saturēt kaitīgas komponentes.
  • Jūs nedrīkstiet nosūtīt, publicēt materiālus, kuriem ir komerciāls raksturs, ja tā nav iepriekš saskaņota ar vietnes autoru.
  • Vietnes autors neatbild par rakstu komentāru saturu un aicina lasītājus būt tolerantiem, iztikt bez rupjībām un saglabāt elementāras pieklājības normas.
  • Vietnes komentāros ir aizliegta jebkāda veida politiskā reklāma un aģitācija. Šī noteikuma neievērošanas gadījumā var tikt liegta iespēja pievienot komentāru uz nenoteiktu laiku.

Noteikumu neievērošanas gadījumā:

  • Bloga autors patur tiesības dzēst lasītāja komentārus un liegt pieeju blogam, kā arī bloga autors patur tiesības izmantot komentāru saturu pēc saviem ieskatiem.

Ja netiek ievēroti augstāk minētie lietotāju noteikumi, tiek uzskatīts, ka ir pārkāptas autora tiesības un atkarībā no pārkāpuma rakstura vai sekām pārkāpējs saucams pie likumā noteiktās administratīvās vai kriminālās atbildības.

lvLatviešu valoda