Kogemuslugu: häkkerid tungisid firma arvutisüsteemi ja nõudsid lunaraha
5. veebruar 2024, 10:16
Mullu tabas lunavararünnak kaht Harjumaal tegutsevat metallitööstusettevõtet, kus töötab kokku ligi 400 inimest. Firmade juhid räägivad täna ilmunud küberturvalisuse aastaraamatus, mis ja miks juhtus, et aidata teistel sarnaseid ohte vältida.
Samale äriperekonnale kuuluvad AS Estanc ja Tammer OÜ tegelevad metallist akende, uste ning mahutite tootmisega. Nende käive ulatub kokku 60 miljoni euroni. Eelmise aasta alguses said mõlemad ettevõtted pihta lunaraharünnakuga, mille tagajärjel peatus kuuks ajaks osaliselt tootmine. Ettevõtete eestvedaja Mihkel Tammo sõnul jäi seetõttu saamata seitsmekohalise summa tulu, millele lisandus otsene kahju.
Rünnaku avastamine
Esimene märk, et midagi on valesti, ilmnes 1. veebruari varahommikul. Tammeri IT-juht Indrek Kink ärkas kell 6.20 telefonikõne peale, et IT-süsteemidele ei pääseta teadmata põhjusel ligi. «Teel kontorisse pidasin mitu kõnet, kell 7.15 autoga Estanci parklasse jõudes oli selge, et tegemist on lunavararünnakuga. Paraku olid ründajad selleks ajaks tõenäoliselt juba mõnda aega võrgus sees olnud, süsteeme kaardistanud ja plaane sepistanud,» meenutab Kink. Tema sõnul ei saa öelda, et ettevõtete IT-süsteemid olid halvasti turvatud – ohtudest oldi teadlikud, kriisiplaanid olemas ja regulaarsete tagavarakoopiate süsteem paigas.
Kahe halva juhuse kokkulangevus
Nõrgaks kohaks osutus vana e-posti server, mille ülesanded olid tegelikult juba pilve kolitud. Pärast kolimist aga selgus, et serverit on siiski veel tarvis – see pandi ajutiselt taas tööle, kuid uuenduste haldamise süsteemi enam ei liidetud. Ajutine lahendus jäi aga kasutusele plaanitust pikemaks ning paikamata Microsoft Exchange Serveri turvanõrkus ProxyLogon võimaldaski häkkeritele pääsu sisevõrku.
Sealt edasi õppisid kurjategijad ettevõtete süsteeme vargsi tundma. Häkkerid said aru, et andmetest tehakse tihedalt varukoopiaid, mistõttu polnud neil mõtet lihtsalt andmeid krüpteerida – ettevõtted oleksid saanud need võrdlemisi kerge vaevaga koopiatest taastada.
«Paraku saime alles kuu pärast intsidenti teada, et koopiate tarkvaras oli avastatud nn nullpäeva turvaauk, millega pääseti ligi administraatorikontole. Seda kasutati nii lokaalsete kui ka pilves peidus olevate koopiate kompromiteerimiseks ja nende sisu lihtsalt kustutati,» selgitas Kink. See andis kurjategijatele viimase puuduva pusletüki, ära võeti võimalus kasutada koopiaid ning otsustati rünnata.
Võitlus mitmel rindel
Kui küberkriminaalid olid süsteemid halvanud ja lunarahanõude esitanud, peatus ühes ettevõttes kuuks ajaks pea täielikult tootmine ja seisaku tagajärjed andsid tunda veel mitu kuud hiljemgi. «Tol hetkel oli seis kriitiline – meil on vaja palgad maksta kahe ettevõtte peale rohkem kui 400 töötajale. Me tulime siiski toime,» ütleb Mihkel Tammo.
Kui äripoolel oli vaja tegeleda kahjude minimeerimisega, siis IT-tasandil kaardistati esiteks kolm võimalikku lahenduskäiku: taastada andmed vähemalt ühe varukoopia töölesaamisega, ehitada kogu andmearhitektuur nullist üles või siis ründajatega võimalikult soodne kokkulepe sõlmida. Kohe esimestel päevade kaasati juhtumi lahendamisse küberturbeettevõte CYBERS, samuti oldi pidevas suhtluses RIA intsidentide käsitlemise osakonnaga (CERT-EE).
Varukoopiate taastamisega nähti palju vaeva ja saadi kätte isegi osa faile, kuid paraku olid need rikutud. Samal ajal tehti juba ka ettevalmistusi kõikide süsteemide nullist üles ehitamiseks. «18. veebruariks olime läbi katsetanud kõik mõeldavad lahendused ja tundus, et tuleb kurjategijate seljatamise osas käed üles tõsta,» tõdes Kink.
Läbirääkimised kurjategijatega võttis enda peale CYBERSi tegevjuht Jürgen Erm: «Esialgu, kui veel teised võimalikud lahendused laual olid, mängisime nii-öelda rumalaid, et kurjategijatele mitte liiga palju infot anda. Samuti proovisime neilt saada mingitki tõestust või garantiid, et lunarahamakse tegemise järel saame andmed ka päriselt tagasi.»
Tammer OÜ juht Anti Tammo kinnitas, et otsus lunaraha maksta ei tulnud kergekäeliselt: «Kaalusime läbi kõik muud variandid, meie IT-inimesed töötasid väsimatult erinevate lahenduskäikude kallal. Kuna lunarahanõue oli kordades väiksem, kui oleksid olnud kulud nullist ülesehitamisel, otsustas juhatus proovida.»
Õppetunnid ja julgus rääkida
Indrek Kinki hinnangul sai rünnak võimalikuks mitme halva sündmuse kokkulangemise tõttu: «Tänaseks oleme oma süsteeme täiendanud just turvaaspektist ja lisanud veel ühe, täielikult offline tagavarakoopia tegemise.»
Kuna küberrünnakutest ei soovita tavaliselt avalikult rääkida, kiidab Jürgen Erm ettevõtteid julguse eest: «See aitab ära hoida järgmisi võimalikke ohvreid. Hetkel on valdav enesetsensuur, kardetakse mainekahju. Aga see näide on elav tõestus, et kahju rääkimisest ei teki – pigem vastupidi.»
Lunarahanõuded tabasid mitut suurt tootmisettevõtet
2023. aastal teatati RIA intsidentide käsitlemise osakonnale (CERT-EE) mitmest lunavararünnakust, mille ohvriks langesid Eesti mõistes suured, sadade töötajatega ettevõtted.
Näiteks langes oktoobris rünnaku alla üks Tallinna suurettevõte, kus pahavaraga krüpteeriti kahes serveris olnud andmed. Ründajad kasutasid lõppsihtmärgini jõudmiseks raamatupidamisfirmat, mille süsteemidesse tungiti kaugtöölaua protokolli (RDP) kaudu. Õnneks olid ettevõttel lukustatud andmetest värsked varukoopiad, mistõttu oli võimalik süsteemid taastada.
Kolm õppetundi
Selle juhtumist võib ammutada korraga lausa kolm õppetundi. Esiteks on Eestis ja ka mujal maailmas kasvav probleem tarneahelarünnakud, mille käigus kasutatakse peamiselt IT- ja raamatupidamisteenuseid pakkuvaid ettevõtteid selleks, et jõuda nende hoopis suuremate ja jõukamate klientideni. Seetõttu tasub ettevõtetel teenuste sisseostmisel tõsiselt analüüsida, kas partnerite küberturbe olukord on ikka piisavalt hea ja millistel süsteemidele on otstarbekas neid ligi lubada.
Samamoodi on levinud riskikoht nõrgalt kaitstud kaugtöölaud või VPN-võrk. Paraku näitavad CERT-EE monitooringuandmed, et Eestis leidub endiselt üle tuhande avalikult internetist kättesaadava kaugtöölaua, kuigi nende omanikke teavitatakse sellega kaasnevatest ohtudest sideettevõtete kaudu regulaarselt.
Ette on tulnud kurioosne lugu, kus IT-mees pani tööpäeva lõpus ajutiselt kaugtöölaua püsti, kavatsedes selle hommikul uuesti maha võtta, aga enne sai ettevõte rünnakuga pihta. Häkkerid seiravad võrke pidevalt ja võivad nõrku kohti mõne tunnniga ära kasutada.
Kolmandaks kinnitas oktoobrikuine juhtum taas kord töökindla ja muudest süsteemidest eraldatud varunduse olulisust rünnaku tagajärgedega toimetulekul. Sarnaselt õnnestus oma infosüsteemid ja andmed kiiresti taastada ühel Lääne-Eesti tööstusettevõttel, mida lunavararünnak tabas detsembri lõpus. Nende puhul kasutati rünnakuks ära nõrka VPN-i parooli.
Üle ega ümber ei saa me ka küberhügieenist, sest paljud lunavararünnakud algavad lihtsast õngitsusest, millega hõivatakse mõne töötaja kasutajakonto. Endiselt teevad ründajatele rõõmu seadmete vaikeparoolid, paikamata turvanõrkused ja vananenud tarkvara, mida tootjad enam ei toeta. Kui kasutada kahetasandilist autentimist ja automaatuuendusi ning vabalt veebist ligipääsetavad teenused VPN-i taha panna, siis on elu kohe palju turvalisem.
Tootmisettevõtete jaoks on oluline vahend küberrünnakuga kaasnevate ohtude maandamiseks veel võrkude segmenteerimine, et kurjamid ei saaks süsteemi sisse pääsedes kohe igale poole ligi. Tehnoloogilised seadmed peaksid asuma eraldatud võrgus, millele saavad ligi ainult kontrollitud töötajad kontrollitud seadmetest.
Kindlasti tuleks võrguliiklust ka monitoorida. Kui teenuseid hoitakse eraldi segmentides, siis peavad ründajad ringi liikudes rohkem «lärmi» tekitama, mis võib seirel nende avastamist kergendada.
Ära toida kurjategijaid
Juhul kui varundusest pole abi ja süsteeme tuleb hakata nullist üles ehitama, võib lunavararünnakuga kaasneda suur majanduslik kahju. Seetõttu on inimlikult mõistatav, miks osa ründega pihta saanud ettevõtteid on otsustanud lunaraha maksmise kasuks. Teisalt taastoodab see kuritegevust, andes häkkerirühmitustele motiivi üha uusi rünnakuid korraldada. Samuti võidakse rünnaku käigus varastatud andmed müüki paisata ja nende eest hiljem uuesti raha välja pressida või parandamata jäetud nõrku kohti jälle ära kasutada.
Seetõttu tegid 50 rahvusvahelise lunavaravastase initsiatiiviga ühinenud riiki, nende seas Eesti, 1. novembril 2023 ühisavalduse, millega nende valitsusasutusasutused lubavad edaspidi vältida lunaraha maksmist, näidates positiivset eeskuju.
Samuti rõhutati avalduses vajadust tõhustada koostööd erasektoriga. Sarnaselt enamiku maailma riikidega registreeritakse Eestis ilmselt ainult väike osa lunavarajuhtumitest, mis raskendab võitlust küberkuritegevusega. Ettevõtjad on väljendanud kartust, et kui nad riiki teavitavad, siis võib sellega kaasneda karistus küberturbereeglite rikkumise eest või mainekahju juhtumi avalikuks tuleku tõttu.
RIA kinnitab, et ei karista kannatanuid, vaid aitab neid hoopis intsidendi lahendamisel, jagades oma oskusteavet ja võimalusel ka näiteks dekrüpteerimisvõtmeid. Juhtunu kohta info avaldamine jääb iga ettevõtte enda otsustada, kuid RIA peab seda väga kiiduväärseks – näo ja nimega kogemuslood panevad märksa paremini probleemi üle järele mõtlema kui anonüümsed hoiatused.