Kaks surmahoopi: topeltväljapressimise lunavara lekitab ja krüpteerib andmeid | OIXIO

Kui tavaliselt peetakse väljapressimistarkvara suurimaks ohuks seda, et firma kõik olulised andmed krüpteeritakse pahavara poolt, siis viimasel ajal on aina enam levinud veel teinegi firmade jaoks vägagi ebamugav lisapahandus: enne krüpteerimist saadetakse andmed pilve, et need hiljem ründaja poolt lekitada. Seda uut lunaraha nõudvat ja lekitavat pahavara nimetatakse topeltväljapressimise lunavaraks (Double Extortion Ransomware).

Kumb on halvem, kas kõikide andmete krüpteerimine firma arvutites või hoopis nende avalikuks saamine? Ilmselt on paljude jaoks veelgi halvem variant see, kui kõik, ka konkurendid saavad ligi ärisaladustele ja siseinfole. Lisaks kummitab sellega oht kaela saada isikuandmete lekkimise süüdistus, mille eest on Euroopa Liidus ette nähtud kopsakad trahvid.

Probleem on tõsine – “topeltväljapressimise” lunavara kasv oli 935% aastas

Kui varem võis olla tegemist üksikjuhtudega või mõne konkreetse ründaja improvisatsiooniga, siis nüüdseks on topeltväljapressimiste arv kasvanud raketina – Group-IB andmetel koguni 935%. 

Selle üheks põhjuseks on vastavate ründetööriistade tulek – ise ei pea enam välja mõtlema, kuidas taolist rünnakut korraldada, kõik on teenusena olemas. Tegemist on nii-öelda lunavaraoperaatorite Unholy Alliance väljapressimistarkvara-kui-teenus ( Ransomware-as-a-Service ehk RaaS) lahendusega, mis on viinud sedasorti lunavararünnete kiire kasvuni. Kokku lekitati niimoodi 2020. aasta 2. poolaastast 2021. aasta 1. poolaastani andmelekitamis-saitidel (Data Leak Sites) 2371 ettevõtte äriandmed. Võrreldes aasta varasema perioodiga, mil avalikustati andmed 229 ohvri kohta, on seega kasv juba väga suur.

Kuidas topeltväljapressimine välja näeb?

Kuidas rünnak täpsemalt toimub, kirjeldatakse põhjalikult Darktrace´i blogi vastavas artiklis. Kui esimeste väljapressimistarkvarade ilmudes juba 2017. aastal panustasid ettevõtted kõige enam selliste ohtude vastu just varundusega (mis on igati õige tegu), siis topeltväljapressimise puhul on see vaid pool kaitsest. Mida aga teha lekitamise vastu? Eks sellegi tarbeks on küber-rohtu.

Rünne algab sellest, et kaaperdatud ligipääsuga (näiteks kui administraatori konto ligipääsuandmed on kuidagi lekkinud või pahavara on need lekitanud) sisenetakse süsteemi ja vaadatakse seal esialgu üsnagi märkamatult ringi – lisatakse vajalikud tööriistad andmete kopeerimiseks ja krüpteerimiseks, kaardistatakse võrgus olevad seadmed ja peidetakse sissetungi jäljed logidest.

Järgmise etapina toimub tavaliselt andmete lekitamine. Selleks, et see vähem silma torkaks, saadetakse ettevõtte äri-info pilve öösiti, töövälisel ajal ning jupikaupa. Lekitamine võib kesta kaua, sest keskmisel firmal võib olla terabaitides, tihti kõigi tööjaamade peale kokku isegi sadades terabaitides või petabaitides infot. Ransomware-as-a-Service ehk RaaS pakub kogu selle tegevuse jaoks automaatseid töövahendeid, nii et ründaja ei pea kuigi palju vaeva nägema.

Kui andmed on pilve laetud, algab töö eest raha kasseerimise aeg. Käivitatakse andmete krüpteerimise funktsioon ning kõik võrgus kättesaadavad kettad võivad saada krüpteeritud – lisaks tööarvutites olevatele kõvaketastele ka nende masinate poolt ligipääsetavad võrgukettad ning pilveressursid. Alles siis muutub rünne nähtavaks, sest kasutajad ei saa enam oma andmetele ligi. Sel hetkel esitavad väljapressijad ka oma lunarahanõude.

Ühes keskmises korraliku mitmeversioonilise varundusega firmas jälgitakse sel puhul tavaliselt soovitust mitte lunarahanõudjatele järgi anda ning asutakse kahjusid likvideerima administraatorite kontorid kaitstes, turvaparandusi tehes ja varukoopiatest andmeid taastades. Seegi on äridele suur kulu, sest nõuab palju lisatööd ja lühema aja jooksul ka tööseisakut. Võrreldes tavaliste lunarahanõuete suurusega on see kahju siiski palju väiksem.

Paraku lisab topeltväljapressimise tarkvara siia kurbmängu veel ühe vaatuse. Kui esimesele väljapressimisnõudele ei vastata, antakse teada, et andmed on lekkinud. Euroopa Liidu isikuandmete kaitse regulatsioonis on aga ette nähtud kopsakad trahvid neile ettevõtetele, kes oma klientide isikuandmeid on tahtmatult lekitanud. Muidugi pakuvad kurjategijad andmete mittelekitamise eest võimalust maksta väiksemat lunaraha, kui trahvid.

Kas selle vastu on üldse kaitset?

Topeltväljapressimise puhul on tõesti üsna keeruline kahju likvideerida, kui džinn on nii-öelda pudelist välja lastud ehk andmed on kuhugi lekkinud – keegi ei tea, kui palju koopiaid ja kellele on juba saadetud. Igal juhul on keeruline lekkinud andmete kahju kõrvaldada.

Andmeleke on aga tegelikult ühe küberrünnaku mitte just kõige varajasem etapp ja kõige tõhusam kaitse ongi ennetamine. Väljapressijate tegevusele peab jälile saama enne, kui andmed on pilve kopeeritud.

Darktrace´i blogis kirjeldatakse sellise topeltväljapressimise rünnaku kõiki etappe ja kui võimalikult varakult neid märgata, õnnestub suurem kahju ära hoida.

Selleks, et väljapressija jõuaks oma lõpp-eesmärkideni ehk andmete kopeerimise ja krüpteerimiseni, peab ta enne tegema mitu sammu, muuhulgas administreemiskonto ülevõtmise, privileegide eskaleerimise ja andmeallikate kaardistamise. Nende varajaste tegevuste tuvastamine ja nende vastu võitlemine on seega sama oluline, kui krüptimise enda avastamine alles rünnaku lõppvaatuses.

Ründajad üritavad andmete kopeerimist maksimaalselt varjata, teeseldes tavalist võrguliiklust ja kopeerides enamuse andmeid siis, kui inimesed pole kontoris tööl ja võrguliikluse suurenemine nii palju tunda ei anna. Andmete pilve saatmine võib kesta päevi või isegi nädalaid, info liigutamine käib tavaliselt jupikaupa.

Kaitseks on siiski olemas mõned lahendused.

Jälgida ebaharilikke sisselogimisi administraatori kontodelt ja blokeerida kas võõrastelt seadmetelt, võõrastelt IP aadressidelt, ebaharilikel aegadel või muul viisil administraatorikontodele ligipääsu. Kindlasti peaks olulised kontod olema kaitstud mitmeastmelise autentimisega.
Jälgida võrguturvalisuse lahendustega ebaharilikku võrguliiklust ja tuvastada suuremahuline andmete liikumine ettevõttest välja. Tulemüürid ja võrguturvalisuse tarkvarad on selliste anomaaliate jälgimiseks seadistatavad. Kuna tavaliselt on firmade infohulk väga suur, on keeruline andmeid kopeerida võrguliikluses jälgi jätmata ning õigete kaitsevahenditega saab lekkele varakult jaole.
Kaitsta tuleb ka perimeetrit ehk kodus töötajate seadmeid. Andmeleke võib alguse saada ka kehvalt turvatud kaugtöötaja arvutist. Kuna sel masinal võib olla ligipääs ka ettevõtte sisevõrgule, peab olema perimeeter ehk kontorist väljas asuvad seadmed samuti kaitstud. 

Ettevõtet aitab kaitsta turvaseire teenusena (SOCaaS), võrguturve teenusena (muuhulgas logide jälgimine) ning muidugi ka ettevõtte töötajate küberturvalisuse teadlikkuse tõstmise koolitus.