Tag Archives for " uzbrukums "

8. jūnijs, 2021

ESET Latvijā rīkos kiberdrošības apmācības

eset on

Pasaulē vadošās kiberdrošības firmas pārstāvniecība Latvijā “ESET Latvia” organizē uzņēmumu kiberdrošības jautājumiem veltītu konferenci ESET ON: Capture the flag, kas norisināsies 10.jūnijā attālināti. Tās ietvaros norisināsies Latvijā līdz šim vērienīgākās kiberdrošības apmācības, kurās piedalīsies gandrīz 100 IT nozares speciālisti.

Konferences mērķis ir vairot izpratni par uzņēmuma IT drošības pārvaldības principiem un sniegt praktisku un labi dokumentētu ieskatu tajā, kā izmantot jaunākos risinājumus, lai nodrošinātu uzņēmuma drošību maksimāli ātri un vienkārši. Konference tiek organizēta, lai būtiski uzlabotu Latvijas IT speciālistu zināšanas un praksi kiberdrošības jautājumos, kā arī veicinātu sadarbību starp kiberdrošības izstrādātājiem, izplatītājiem un lietotājiem.

“Koronavīruss ir mainījis veidu, kā uzņēmumi un cilvēki strādā, un šobrīd jau ir skaidrs, ka attālinātais darbs ir paradums, kas Latvijā saglabāsies arī pēc pandēmijas. Tas nozīmē, ka nepieciešamība rūpēties par kiberdrošību ir tik aktuāla kā vēl nekad. Interneta noziedznieki pastāvīgi attīsta savas metodes un nebūtu prātīgi paļauties uz maldīgu priekšstatu, ka Latvijā uzņēmumi ir drošībā, ko apliecina arī vairāki publiski zināmi precedenti, kad vietējie uzņēmumi ir cietuši no kiberuzbrukumiem. Arī vīrusu uzbrukumi internetā Latvijā ir auguši par 97%, turklāt pēdējā laikā ir atklājušies tik daudz dažādu uzbrukumu un datu noplūdes, ka nav šaubu, ka jebkurš uzņēmums, neatkarīgi no tā lieluma vai uzņēmējdarbības veida, var būt uzbrukuma upuris. Latvijā ne tikai trūkst speciālistu, kas varētu nodrošināt drošību, bet arī esošo IT speciālistu zināšanas un prakse kiberdrošības jautājumos ne vienmēr ir pietiekama un atbilstoša uzņēmuma vajadzībām. Kiberdrošības apmācības ir būtisks solis, lai Latvijā uzlabotu kopējo kiberdrošību, un “ESET Latvija” apmācības, kurās uzsvars ir tieši uz praktisku pieredzi, būs vērtīgs zināšanu un prasmju ieguvums gandrīz 100 speciālistiem,” stāsta “ESET Latvija” IT inženieris Egils Rupenheits.

Lasīt tālāk
16. marts, 2021

Uzbrukumi, kas vērsti pret Microsoft Exchange serveriem

microsoft exchange

CERT.LV ir konstatējusi veiksmīgus uzbrukumus MS Exchange serveriem Latvijā, kas veikti vairākas dienas pirms Microsoft publicēja atjauninājumus ievainojamību CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 novēršanai. Ietekmētas visas aktuālās MS Exchange versijas, uzbrukums vērsts pret web komponenti (OWA un ECP). Atsevišķos gadījumos kompromitēšana notikusi nepilnu stundu pirms atjauninājumu uzstādīšanas.

Rezultātā CERT.LV aicina uzskatīt visus MS Exchange serverus par kompromitētiem, līdz brīdim, kad ir veiktas atbilstošas pārbaudes un tajās ir apstiprināts pretējais. Pārbaužu veikšanai CERT.LV iesaka izmantot sekojošus rīkus (jāizmanto abi!):

  1. https://github.com/microsoft/CSS-Exchange/tree/main/Security
  2. https://github.com/cert-lv/exchange_webshell_detection

CERT.LV uzsver, ka atjauninājumu uzstādīšana pasargā no iespējamas kompromitēšanas pēc uzstādīšanas, bet nenovērš kompromitēšanu, ja tā jau notikusi vēl pirms atjaunināšanas, attiecīgi, pārbaude jāveic arī tad, ja atjauninājumi tika uzstādīti, tiklīdz tie bija pieejami.

Kompromitēšanas gadījumā CERT.LV aicina:

  1. par to informēt CERT.LV;
  2. nosūtīt uz [email protected] identificēto ļaunatūru, tiklīdz tā ir pamanīta, pat ja informācija sākotnēji ir nepilnīga;
  3. efektīvāka CERT.LV atbalsta saņemšanai pēc iespējas agrāk izveidot atmiņas attēlu (memory dump), ieteicamais rīks: https://github.com/Velocidex/WinPmem/releases/tag/v4.0.rc1
Lasīt tālāk
25. janvāris, 2021

E-klase piedzīvojusi apjomīgu kiberuzbrukumu

eklase

Pirmdienas, 25. janvāra, rītā platforma “e-klase” piedzīvojusi apjomīgu kiberuzbrukumu, platformas pamatfunkcijas nav traucētas, taču skolēniem varētu būt problēmas ar video saziņu. Šobrīd “E-klase” strādā, lai problēmas novērstu, informēja platformas “e-klase” pārstāve Zane Rašmane.

“Šādi uzbrukumi “e-klases” sistēmai tiek piedzīvoti salīdzinoši regulāri, taču video saziņai, kas pilotprojekta režīmā darbojas kopš šī gada sākuma, tik apjomīgs uzbrukums noticis pirmo reizi,” informēja “e-klases” vadītājs Jānis Kaģis.

“”E-klases” pamatfunkcijām traucējumi nav radīti un šobrīd norit aktīvs darbs, lai novērstu uzbrukumu un atjaunotu pilnvērtīgu video saziņas darbību. Izsakām nožēlu, ka šādam uzbrukumam izvēlēts tik nozīmīgs brīdis – laiks, kad attālinātās mācības atsāk 1.-4. klašu skolēni,” ziņoja “e-klases” pārstāve Zane Rašmane.

Lasīt tālāk
30. septembris, 2020

Brīdinājums uzņēmumiem un iestādēm par naudas izspiešanas mēģinājumiem

computer hacker

Pēdējo nedēļu laikā kļuvuši aktuāli naudas izspiešanas mēģinājumi, draudot apturēt uzņēmuma mājas lapu vai citu resursu, kas nodrošina uzņēmuma darbību. Šāda veida uzbrukumi vienlaicīgi notiek vairākās Eiropas valstīs. Naudas izspiešanas mēģinājumi mērķēti gan uz finanšu institūcijām, gan uz citiem privātā sektora uzņēmumiem.

Kā darbojas uzbrucējs?

Uzbrucējs izsūta draudu e-pastu, kurā uzdodas par Armada Collective, Cozy Bear, Fancy Bear vai Lazarus Group, un pieprasa maksājumu uz Bitcoin kriptovalūtas maciņu. Atteikuma gadījumā sola apturēt uzņēmuma darbību, veicot liela apjoma izkliedēto piekļuves lieguma (DDoS) uzbrukumu. Iebiedēšanas nolūkos noziedznieki veic testa uzbrukumu (20-100 Gbps), pēc kura izsūta atkārtotu brīdinājumu par vēl apjomīgāku uzbrukumu (pēc noziedznieku vārdiem – līdz 2 Tbps), ja netiks veikts maksājums.

Uzbrukuma datu plūsma tiek ģenerēta, izmantojot virkni UDP-bāzētu protokolu: DNS, NTP, CLDAP, WS-Discovery, GRE, SNMP, pielietojot plūsmas amplifikāciju, lai palielinātu atteices efektu un slēptu patiesos uzbrukuma avotus.  Bieži vien, neskatoties uz biedējošiem e-pastiem, atkārtoti uzbrukumi neseko, un gadījumā, ja pieprasītais izpirkums netiek samaksāts, uzbrucēji maina mērķi.

Novēroto uzbrukumu apjoms strauji pieaug – septembra beigās Eiropā fiksēti uzbrukumi, kas pārsniedza 100 Gbps, taču jāņem vērā, ka realizētie uzbrukumi neilgst vairāk par dažām dienām (biežāk – mazāk par stundu). Ja uzbrukuma mērķis nav izrādījis vēlmi “sadarboties” un nemaksā, uzbrucēji pārvirza uzmanību un resursus uz nākamo mērķi.

Lasīt tālāk
20. augusts, 2020

Cert brīdina par piekļuves tiesību izkrāpšanas uzbrukumiem

office 365 phishing email v3

Office 365 piekļuves tiesību izkrāpšanas uzbrukums – tas ir Office 365 lietotājiem specifisks pikšķerēšanas veids.

Līdzīgi kā parastas pikšķerēšanas gadījumā, uzbrukuma upurim tiek nosūtīts e-pasts ar saiti uz it kā koplietotu dokumentu.

Parasti līdzīgu pikšķerēšanas mēģinājumu mērķis ir iegūt pieeju lietotāja e-pastam, taču Office 365 gadījumā iespējams iegūt daudz vairāk.

Norādītā saite uzreiz pāradresē lietotāju uz īstu Microsoft autentifikācijas vietni. Ja lietotājs tobrīd jau ir autentificējies Office 365 sistēmā, papildu autentifikācija netiek prasīta. Ja lietotājs nebija autentificējies un nākas ievadīt piekļuves datus, tad tas tiek darīts īstā Microsoft vietnē, izpildot visus autentifikācijas soļus, ieskaitot vairākfaktoru autentifikāciju (kā parasti).

Uzbrukuma mērķis nav iegūt lietotāja pieejas datus, bet piesaistīt lietotāja kontu ļaunprātīgai Microsoft Azure vidē izveidotai lietotnei (Azure App), kura pēc lietotāja autentificēšanās Office 365 sistēmā pieprasa apstiprināt piekļuvi dažādiem lietotājam pieejamiem resursiem, tādejādi piekļūstot gan lietotāja izmantotajiem pakalpojumiem Office 365 vidē (e-pastam, kalendāram, failiem, kontaktu sarakstam utt), gan citiem Microsoft risinājumiem (Skype, SharePoint, OneDrive, Remote Desktop), kā arī visiem trešo pušu risinājumiem, kuros organizācijas ietvaros tiek izmantota vienota pierakstīšanās (Single Sign-On), piemēram, Zoom platformā. Azure App var pieprasīt arī tiesības mainīt lietotāja iestatījumus.

Lai gan šīs piekļuves tiesības, līdzīgi kā instalējot mobilās lietotnes vai pārlūku paplašinājumus, tiek skaidri uzskaitītas pirms Azure App uzstādīšanas, daudzi lietotāji, nepievēršot papildu uzmanību, veic pieprasījuma apstiprināšanu, jo, iespējams, līdz galam neizprot šīs darbības potenciālo ietekmi, kā arī uzskata Azure App par uzticamām vai nekaitīgām programmām. Taču Azure App var izveidot ikviens, un tās var izplatīt gan caur trešo pušu mājaslapām, gan caur Office 365 Marketplace. Ļaunprātīgās Azure App uzticamības palielināšanai bieži izmanto nosaukumus, kas asociējas ar Microsoft vai citiem populāriem servisiem.

No Office 365 administratoru viedokļa šāda uzbrukuma sekas ir daudz plašākas par parastu e-pasta uzlaušanu, jo krāpnieki iegūst lielāku pieeju, turklāt šāda veida uzlaušana var paiet pilnīgi nemanāmi gan no lietotāju, gan no IT administratoru viedokļa. Noziedznieki var piekļūt e-pastiem un failiem caur dažādiem API, neatstājot pēdas parastos žurnālfailos (jo netiek izmantoti tādi protokoli kā IMAP vai POP).

Arī gadījumā, ja lietotājam radīsies aizdomas, ka viņa konts ir uzlauzts, un lietotājs nomainīs Office 365 konta paroli, krāpnieku pieeja netiks atslēgta, bet lietotājam var rasties viltus drošības sajūta.

To, kādām Azure App lietotnēm šobrīd ļauts piekļūt lietotāja kontam, katrs lietotājs var pārbaudīt sadaļā: https://account.live.com/consent/Manage

Office 365 administratori, savukārt, var pasargāt savus lietotājus, iestatījumos veicot atzīmi, kas ļauj lietotājiem autorizēties tikai verificētu Microsoft Partner lietotnēs: https://docs.microsoft.com/en-us/azure/active-directory/develop/publisher-verification-overview

Microsoft piedāvā arī daudzas citas iespējas, ko Office 365 administratori var izmantot, lai vēl vairāk ierobežot to, kādā veidā lietotāji var autorizēties šajos trešo pušu pakalpojumos un kāda veida datus šie pakalpojumi var iegūt.

Savukārt, ja ir aizdomas, ka kāda lietotāja konts varētu būt šādā veidā kompromitēts, to var pārbaudīt, izmantojot Audit žurnālfailu.

Vairāk informācijas par šiem pikšķerēšanas uzbrukumiem:

Noderīgi rīki:

lvLatviešu valoda