☰

Kiberlaikapstākļi (APRĪLIS)

Pieejami kiberlaikapstākļi par 2023.gada aprīli. Kiberlaikapstākļi ir CERT.LV speciālistu apkopots pārskats īsā un pārskatāmā formā par Latvijas kibertelpā svarīgākajiem notikumiem pagājušajā mēnesī. Kiberlaikapstākļi tiek noteikti piecās dažādās kategorijās.

Kiberlaikapstākļos minētās krāpnieciskās saites, ko iesūtījuši iedzīvotāji un identificējusi CERT.LV, operatīvi tiek ievietotas DNS ugunsmūrī dnsmuris.lv, tādējādi pasargājot no uzbrukuma DNS ugunsmūra lietotājus. DNS ugunsmūris bez maksas ir pieejams ikvienam Latvijas iedzīvotājam un uzņēmumam.

Krāpšana

Krāpnieki izliekas par Latvija.lv un sūta viltus SMS

Aprīļa beigās CERT.LV aicināja iedzīvotājus būt modriem saistībā ar krāpnieciskām SMS it kā Latvija.lv vārdā, kurās saņēmēji tika aicināti apmaksāt administratīvo sodu. SMS norādītā saite veda uz viltus vietni, kas paredzēta bankas piekļuves datu izgūšanai. Uzbrukumā tika izmantots augstākā līmeņa (top-level-domain) .net domēna vārds, kuru krāpnieki mēģināja nomaskēt par .gov.lv.

Vairāk: https://www.facebook.com/certlv/posts/pfbid037XZS1vCCUdhrhcZgbMq7dRDunTonGGASh6PBCsQwHkWJ4sABvroiSa5jtzFg3XSml

Kāds Latvijas uzņēmums cietis no krāpnieku iejaukšanās biznesa sarakstē

Aprīļa sākumā tika saņemts ziņojums no kāda Latvijas uzņēmuma, kas cietis no krāpnieku iejaukšanās biznesa sarakstē, un tādā veidā zaudējis vairāk nekā 13 000 EUR. Ņemot vērā, ka uzņēmuma darbinieka e-pasts bija aizsargāts ar divu faktoru autentifikāciju, kā arī netika saņemts paziņojums par pieslēgšanos e-pastam no svešas ierīces, tad kompromitēts visticamāk ir ticis uzņēmuma biznesa partnera e-pasts nevis paša uzņēmuma.

No iejaukšanās biznesa sarakstē pēdējo gadu laikā cietuši arī citi Latvijas uzņēmumi, taču šis incidents bija unikāls ar to, ka uzņēmējs un biznesa partneris pēc uzbrukuma saņēma arī ziņu no kāda anonīma avota, kurš apgalvoja, ka zinot par notikušo krāpniecību un zina, kā naudu atgūt. Par šādu “izpalīdzēšanu” anonīmais ziņotājs pieprasīja 3 500 EUR. Uzņēmums ar iesniegumu vērsies arī Valsts policijā.

Krāpnieki uzglūn kādas slimnīcas grāmatvedei

Pirms Lieldienām kādas reģionālās slimnīcas grāmatvede atkārtoti saņēma aizdomīgu e-pastu it kā no slimnīcas vadītāja ar jautājumu par konta atlikumu un iespējām pārskaitīt 35 000 EUR. Ciešāk izpētot sūtītāja e-pasta adresi, grāmatvede savlaicīgi atpazina krāpniecību, un uzbrukumā necieta.

Lietotnē WhatsApp izplatās viltus brīdinājums par ļaunatūru

Aprīļa sākumā Latvijas iedzīvotāji bija liecinieki jaunai viltus ziņu kampaņai lietotnē WhatsApp, kas izplatījās ar ķēžu vēstuļu starpniecību, kuras paši lietotāji pārsūtīja tālāk cits citam. Pārsūtītajās ziņās tika brīdināts par ļaunatūru, kas izplatās it kā caur attēliem lietotnē WhatsApp un spēj padarīt iekārtu nelietojamu. Tādēļ krāpnieki aicināja visus pārstāt dalīties ar bildēm. Kā brīdinājuma autors tika norādīta kāda valsts iestāde, kam, protams, ar to nebija nekādas saistības. CERT.LV aicināja iedzīvotājus minētās ziņas tālāk nepārsūtīt un ignorēt.

Mērķēti pikšķerēšanas uzbrukumi pret vairāku valsts iestāžu darbiniekiem

Aprīlī CERT.LV saņēma ziņojumus no vairākām valsts un pašvaldību iestādēm par mērķētiem pikšķerēšanas e-pastiem, kas sūtīti konkrēto iestāžu darbiniekiem. Ļaundaru mērķis bija izgūt darbinieku e-pastu piekļuves datus, izliekoties par palīdzības dienestu un apgalvojot, ka lietotāja e-pasta kontam radušās problēmas un aizturēta e-pastu piegāde. Darbinieki savlaicīgi atpazina pikšķerēšanas mēģinājumus un uzbrukumā necieta.

Ļaunatūra un ievainojamības

Ievainojamība Microsoft Message Queuing (MSMQ) risinājumā

Aprīļa vidū CERT.LV publicēja brīdinājumu par ievainojamību (CVE-2023-21554) Microsoft Message Queuing (MSMQ) risinājumā, kas sniedz iespēju neautentificētam lietotājam veikt attālinātu koda izpildi ievainojamajā sistēmā. Apdraudējuma līmenis CVSS score ir 9.8. MSMQ ir iekļauts visās Windows operētājsistēmās, kā rezultātā apdraudējums ir aktuāls līdz pat Windows Server 2022 un Windows 11.

CERT.LV aicināja visus pēc iespējas ātrāk uzstādīt Microsoft publicētos atjauninājumus.

Vairāk: https://cert.lv/lv/2023/04/ievainojamiba-microsoft-message-queuing-msmq-risinajuma

Kāds Latvijas uzņēmums cietis Mallox šifrējošā izspiedējvīrusa uzbrukumā

Aprīļa sākumā kāds Latvijas uzņēmums cieta Mallox šifrējošā izspiedējvīrusa uzbrukumā, kā rezultātā tika sašifrēta uzņēmuma MS SQL datubāze un cita vērtīga informācija. Viena no versijām, ka pie vainas bijis publiskajā internetā eksponētais 1443 ports. Uzņēmumam diemžēl nebija pieejamas rezerves kopijas, tādēļ CERT.LV ieteica pamēģināt atgūt datus caur Windows Restore Point vai Shadow copy servisu. CERT.LV informēja uzņēmumu arī par pieejamajiem Avast un nomoreransom.org dešifrēšanas rīkiem konkrētās ļaunatūras gadījumā.

Papildu informācija par Restore Point un Shadow Copy:
https://support.microsoft.com/en-us/windows/use-system-restore-a5ae3ed9-07c4-fd56-45ee-096777ecd14e
https://learn.microsoft.com/en-us/windows-server/storage/file-server/volume-shadow-copy-service

Dažādas ļaunatūras konstatētas vairākām pašvaldību darbinieku iekārtām

Aprīlī CERT.LV redzeslokā nonāca vairākas individuālas iekārtas no dažādām pašvaldībām, kurās tika identificēta ļaunatūru klātbūtne. Vairumā gadījumu tika konstatēta viltīgā Stantinko ļaunatūra, kas uz upura iekārtas var lejupielādēt ļaundabīgus interneta pārlūka spraudņus, kas tālāk lietotāju pārvirza uz dažādām reklāmas vietnēm. Tā gan ir tikai viena no Stantinko funkcionalitātēm. Otra populārākā ļaunatūra bija “Android Hummer” trojānis, kas atbildīgs par citu lietotņu lejupielādi uz upura iekārtas un uzlecošiem reklāmas logiem. Visos gadījumos CERT.LV informēja iestāžu atbildīgās personas, un sniedza konsultācijas tālākai rīcībai.

Vairāk nekā 35 miljoni Android lietotāji inficējuši savas iekārtas, lejupielādējot Minecraft spēles pakaļdarinājumus

Google Play veikalā šogad tikušas identificētas vismaz 38 ļaundabīgas lietotnes, kas kopējušas populāro Minecraft spēli, un ko lejupielādējuši vairāk nekā 35 miljoni Android lietotāju visā pasaulē. Viltus lietotnes iekārtas inficējušas ar tā saucamo HiddenAds vīrusu, kas paredzēts fona reklāmu lejupielādei ar mērķi ģenerēt ieņēmumus tā izstrādātajiem. Viltus spēles šobrīd ir veiksmīgi izņemtas no Google Play platformas.

Vairāk: https://www.bleepingcomputer.com/news/security/android-minecraft-clones-with-35m-downloads-infect-users-with-adware/

Pakalpojuma pieejamība

Turpinās DDoS uzbrukumi

Krievijas agresīvo politiku atbalstošo haktīvistu aktivitātes turpinājās arī aprīlī. DDoS uzbrukumus piedzīvoja gan enerģētikas un transporta nozare, gan virkne valsts iestāžu resursu, to vidū arī Ārlietu ministrija, Valsts robežsardze, Finanšu izlūkošanas dienests, Tīmekļvietņu vienotā platformas un citi.

Uzbrukumi sadarbībā ar LVRTC un SIA Tet tika veiksmīgi atvairīti un neradīja būtiskus traucējumus sistēmu pieejamībai.

Ielaušanās un datu noplūde

Ļaundari izmanto WordPress ievainojamību, lai piekļūtu kādas ārstniecības iestādes vietnei

Kādas ārstniecības iestādes mājaslapā tika konstatēts nesankcionēti injicēts webshell, kas sniedza iespēju ļaundariem to izmantot tālākai neautorizētai piekļuvei un komandu izpildei tīmekļa serverī. Ļaundari piekļuvei bija izmantojuši zināmu WordPress ievainojamību. Vietnes uzturētāji tika informēti par incidentu, un operatīvi to novērsa.

Lietu internets

Būtiski incidenti netika reģistrēti.