Vārda dienu šodien svin Olita, Rita, Vita
Pēdējo nedēļu laikā kļuvuši aktuāli naudas izspiešanas mēģinājumi, draudot apturēt uzņēmuma mājas lapu vai citu resursu, kas nodrošina uzņēmuma darbību. Šāda veida uzbrukumi vienlaicīgi notiek vairākās Eiropas valstīs. Naudas izspiešanas mēģinājumi mērķēti gan uz finanšu institūcijām, gan uz citiem privātā sektora uzņēmumiem.
Uzbrucējs izsūta draudu e-pastu, kurā uzdodas par Armada Collective, Cozy Bear, Fancy Bear vai Lazarus Group, un pieprasa maksājumu uz Bitcoin kriptovalūtas maciņu. Atteikuma gadījumā sola apturēt uzņēmuma darbību, veicot liela apjoma izkliedēto piekļuves lieguma (DDoS) uzbrukumu. Iebiedēšanas nolūkos noziedznieki veic testa uzbrukumu (20-100 Gbps), pēc kura izsūta atkārtotu brīdinājumu par vēl apjomīgāku uzbrukumu (pēc noziedznieku vārdiem – līdz 2 Tbps), ja netiks veikts maksājums.
Uzbrukuma datu plūsma tiek ģenerēta, izmantojot virkni UDP-bāzētu protokolu: DNS, NTP, CLDAP, WS-Discovery, GRE, SNMP, pielietojot plūsmas amplifikāciju, lai palielinātu atteices efektu un slēptu patiesos uzbrukuma avotus. Bieži vien, neskatoties uz biedējošiem e-pastiem, atkārtoti uzbrukumi neseko, un gadījumā, ja pieprasītais izpirkums netiek samaksāts, uzbrucēji maina mērķi.
Novēroto uzbrukumu apjoms strauji pieaug – septembra beigās Eiropā fiksēti uzbrukumi, kas pārsniedza 100 Gbps, taču jāņem vērā, ka realizētie uzbrukumi neilgst vairāk par dažām dienām (biežāk – mazāk par stundu). Ja uzbrukuma mērķis nav izrādījis vēlmi “sadarboties” un nemaksā, uzbrucēji pārvirza uzmanību un resursus uz nākamo mērķi.
Lasīt tālāk
Office 365 piekļuves tiesību izkrāpšanas uzbrukums – tas ir Office 365 lietotājiem specifisks pikšķerēšanas veids.
Līdzīgi kā parastas pikšķerēšanas gadījumā, uzbrukuma upurim tiek nosūtīts e-pasts ar saiti uz it kā koplietotu dokumentu.
Parasti līdzīgu pikšķerēšanas mēģinājumu mērķis ir iegūt pieeju lietotāja e-pastam, taču Office 365 gadījumā iespējams iegūt daudz vairāk.
Norādītā saite uzreiz pāradresē lietotāju uz īstu Microsoft autentifikācijas vietni. Ja lietotājs tobrīd jau ir autentificējies Office 365 sistēmā, papildu autentifikācija netiek prasīta. Ja lietotājs nebija autentificējies un nākas ievadīt piekļuves datus, tad tas tiek darīts īstā Microsoft vietnē, izpildot visus autentifikācijas soļus, ieskaitot vairākfaktoru autentifikāciju (kā parasti).
Uzbrukuma mērķis nav iegūt lietotāja pieejas datus, bet piesaistīt lietotāja kontu ļaunprātīgai Microsoft Azure vidē izveidotai lietotnei (Azure App), kura pēc lietotāja autentificēšanās Office 365 sistēmā pieprasa apstiprināt piekļuvi dažādiem lietotājam pieejamiem resursiem, tādejādi piekļūstot gan lietotāja izmantotajiem pakalpojumiem Office 365 vidē (e-pastam, kalendāram, failiem, kontaktu sarakstam utt), gan citiem Microsoft risinājumiem (Skype, SharePoint, OneDrive, Remote Desktop), kā arī visiem trešo pušu risinājumiem, kuros organizācijas ietvaros tiek izmantota vienota pierakstīšanās (Single Sign-On), piemēram, Zoom platformā. Azure App var pieprasīt arī tiesības mainīt lietotāja iestatījumus.
Lai gan šīs piekļuves tiesības, līdzīgi kā instalējot mobilās lietotnes vai pārlūku paplašinājumus, tiek skaidri uzskaitītas pirms Azure App uzstādīšanas, daudzi lietotāji, nepievēršot papildu uzmanību, veic pieprasījuma apstiprināšanu, jo, iespējams, līdz galam neizprot šīs darbības potenciālo ietekmi, kā arī uzskata Azure App par uzticamām vai nekaitīgām programmām. Taču Azure App var izveidot ikviens, un tās var izplatīt gan caur trešo pušu mājaslapām, gan caur Office 365 Marketplace. Ļaunprātīgās Azure App uzticamības palielināšanai bieži izmanto nosaukumus, kas asociējas ar Microsoft vai citiem populāriem servisiem.
No Office 365 administratoru viedokļa šāda uzbrukuma sekas ir daudz plašākas par parastu e-pasta uzlaušanu, jo krāpnieki iegūst lielāku pieeju, turklāt šāda veida uzlaušana var paiet pilnīgi nemanāmi gan no lietotāju, gan no IT administratoru viedokļa. Noziedznieki var piekļūt e-pastiem un failiem caur dažādiem API, neatstājot pēdas parastos žurnālfailos (jo netiek izmantoti tādi protokoli kā IMAP vai POP).
Arī gadījumā, ja lietotājam radīsies aizdomas, ka viņa konts ir uzlauzts, un lietotājs nomainīs Office 365 konta paroli, krāpnieku pieeja netiks atslēgta, bet lietotājam var rasties viltus drošības sajūta.
To, kādām Azure App lietotnēm šobrīd ļauts piekļūt lietotāja kontam, katrs lietotājs var pārbaudīt sadaļā: https://account.live.com/consent/Manage
Office 365 administratori, savukārt, var pasargāt savus lietotājus, iestatījumos veicot atzīmi, kas ļauj lietotājiem autorizēties tikai verificētu Microsoft Partner lietotnēs: https://docs.microsoft.com/en-us/azure/active-directory/develop/publisher-verification-overview
Microsoft piedāvā arī daudzas citas iespējas, ko Office 365 administratori var izmantot, lai vēl vairāk ierobežot to, kādā veidā lietotāji var autorizēties šajos trešo pušu pakalpojumos un kāda veida datus šie pakalpojumi var iegūt.
Savukārt, ja ir aizdomas, ka kāda lietotāja konts varētu būt šādā veidā kompromitēts, to var pārbaudīt, izmantojot Audit žurnālfailu.
Vairāk informācijas par šiem pikšķerēšanas uzbrukumiem:
Noderīgi rīki:
Valsts policijas Galvenās kriminālpolicijas pārvaldes Ekonomisko noziegumu apkarošanas pārvaldes amatpersonas, veicot informācijas pārbaudi par kiberuzbrukumiem un aktīvi sadarbojoties ar Informācijas tehnoloģiju drošības incidentu novēršanas institūcijas CERT.LV speciālistiem, periodiski saņem sūdzības gan no fiziskām, gan juridiskām personām par dažādu šifrējošo izspiedējvīrusu (ransomware) uzbrukumiem. Minētie vīrusi šifrē datorā esošos failus un cieto disku, liedzot lietotājiem turpmāku datora lietošanu, kā arī piekļuvi saturiskajai informācijai.
Lasīt tālāk
Pēdējo dienu laikā vairāki valsts iestāžu darbinieki un politiķi ir piedzīvojuši mērķētu kiberuzbrukumu, secinājis Informācijas tehnoloģiju drošības incidentu novēršanas institūcija “CERT.LV”.
Uzbrukums tika veikts, izsūtot ļaundabīgus e-pastus Krievijas vēstniecības vārdā. Izsūtītie e-pasti tika noformēti kā atbilde uz iepriekšēju saraksti. E-pastos tika iekļauta saite dokumentam, kurš bija paredzēts upuru datora inficēšanai, lejupielādei.
Visi saņēmēji e-pastā atpazina iepriekš ar vēstniecību veiktas sarakstes fragmentus, kas izmantoti uzticamības veicināšanai uzbrucēju izsūtītajam e-pastam. Kaitīgi e-pasti izsūtīti it kā Krievijas vēstniecības vārdā ir vismaz otrais šādu uzbrukumu vilnis pēdējo trīs mēnešu laikā. Arī pati vēstniecība oktobrī izplatījusi informāciju Latvijas medijiem par piedzīvotu kiberuzbrukumu tās e-pasta sistēmai.
Lasīt tālākLatvijā no ievainojamām 100 000* unikālām IP adresēm 59% gadījumi ir saistīti ar neatbilstoši konfigurētām iekārtām, savukārt 8% gadījumu iekārtās konstatēta ļaunatūras klātbūtne, liecina CERT.LV statistika. Katrai IP adresei pretī ir gala lietotājs – fiziska vai juridiska persona, kas, iespējams, pat nenojauš par problēmām savā iekārtā. CERT.LV un Latvijas Interneta asociācijas Drošāka interneta centrs (Drossinternets.lv) iniciatīvas „Atbildīgs interneta pakalpojuma sniedzējs” ietvaros aicina Latvijā reģistrētus interneta pakalpojuma sniedzējus (IPS) uz sadarbību, piesakoties saņemt CERT.LV rīcībā esošo informāciju un nogādāt to saviem klientiem – interneta lietotājiem. Kā arī iniciatīvas ietvaros IPS tiek aicināti reaģēt uz ziņojumiem, kas saņemti no Drossinternets.lv par nelegālu interneta saturu uz IPS serveriem, attiecīgi informējot atbilstošo satura izvietotāju un aicinot pārkāpumu novērst un nelegālo saturu izdzēst.
Lasīt tālāk