top of page

LVM ransomware ataka Latvijoje: ką kaimynų incidentas sako apie jūsų įmonę?

  • prieš 3 valandas
  • 5 min. skaitymo
LVM latvija
Nuotraukos šaltinis - Evija Trifanova/LETA

Naktį iš birželio 22 į 23 d., prieš pat Jonines, kai Latvija ruošėsi ilgajam savaitgaliui, piktavaliai pradėjo aktyvų puolimą prieš vieną didžiausių šalies valstybinių įmonių - „Latvijas valsts meži" (LVM, lietuviškai - Latvijos valstybiniai miškai). Rezultatas: užšifruoti duomenys, pavogta apie 7 000 darbuotojų slaptažodžių, ištrintos atsarginės kopijos ir kelias savaites nustojusios veikti sistemos.


Įprasta manyti, jog piktavalius labiau domina pačios valstybės infrastruktūra, o ne atskiros įmonės. Deja, taikiniai įprastai pasirenkami ne pagal dydį ar svarbą, bet pagal atrandamus pažeidžiamumus bet kokioje organizacijoje. Šiuo atveju, LVM organizacija patyrė ransomware ataką (liet. - išpirkos reikalavimo ataka) - tai įsilaužimas, per kurį piktavaliai užšifruoja įmonės duomenis ir už jų prieigos grąžinimą reikalauja pinigų. LVM atvejis yra beveik vadovėlinis pavyzdys, kaip tokios atakos vyksta bet kokio dydžio organizacijoje - sustojanti veikla, stringanti apskaita, prarasti užsakymai ir nutekėję jautrūs duomenys.


Kaip vyko LVM ransomware ataka?


LVM ransomware atakos laiko juosta

Pagal viešai skelbiamą informaciją, įvykiai klostėsi taip:


Birželio 11 d. - įsilaužėlis pateko į LVM sistemas per seną, jiems žinomą saugumo spragą iš interneto pasiekiamame serveryje. Pataisymas tai spragai buvo seniai išleistas - tik neįdiegtas: Latvijos žiniasklaidos cituojamų ekspertų teigimu, serveris nebuvo atnaujintas net dvejus metus.


Birželio 11-22 d. - beveik dvi savaites piktavalis tyliai veikė viduje: žvalgėsi po tinklą, rinko prieigas, ruošėsi. Niekas to nepastebėjo.


Naktis iš birželio 22 į 23 d. - prasidėjo aktyvioji fazė: duomenų šifravimas, atsarginių kopijų trynimas. Laikas parinktas neatsitiktinai - prieš vieną didžiausių Latvijos švenčių, kada biurai tuštėja.


Birželio 25 d. - įmonė viešai patvirtino ataką. Išoriniai servisai (žemėlapių sistema „LVM GEO", medžiotojų programėlė „Mednis") ir dalis vidinių sistemų buvo išjungti.


Liepos pradžia - Latvijos nacionalinė kibernetinių incidentų tarnyba CERT.LV paskelbė, kad tas pats piktavalis įsilaužė ir į vaistų gamintojos „Olpha" serverį, o grupuotė toliau aktyviai skenuoja Latvijos organizacijų infrastruktūrą ieškodama naujų aukų. Tuo metu, praėjus jau kelioms savaitėms po atakos, apie du trečdalius LVM paslaugų klientų vis dar neturėjo prieigos prie sistemų.


Žiniasklaidoje minėta, kad piktavalių reikalauta išpirka galėjo siekti virš 600 000 eurų. Įmonė teigia išpirkos reikalavimo negavusi ir mokėti neketinanti.


Ar esate „per maži, kad mus pultų"?


Ypač svarbi detalė slypi CERT.LV išvadoje: ataką įvykdė finansiškai motyvuota tarptautinė grupuotė, nėra pagrindo manyti, kad ji taikėsi būtent į Latviją ar būtent į LVM.


Kitaip tariant, niekas nesirinko aukos pagal dydį ar svarbą. Piktavaliai automatiškai skenavo tinklus ieškodami neatnaujintų, pažeidžiamų serverių ar kitų prieigos būdų - ir laužėsi ten, kur durys buvo pravertos. LVM pateko į taikiklį ne todėl, kad yra strateginė valstybės įmonė, o todėl, kad turėjo dvejus metus neatnaujintą serverį, turintį piktavaliams žinomą saugumo spragą. Tai patvirtina ir „Olpha" atvejis: miškininkystė ir farmacija neturi nieko bendra - išskyrus pažeidžiamą serverį.


Trys pamokos, kurios tinka kiekvienai įmonei


1. Saugumo spraga - atviros durys piktavaliams


Ransomware ataka, kurią patyrė LVM, buvo įgalinta ne genialaus piktavalio programuotojo, o dvejus metus neatnaujintos programinės įrangos. Tai vienas dažniausias kibernetinių incidentų scenarijus: spraga seniai žinoma, pataisymas seniai išleistas, tik niekas jo neįdiegė.


Spragas organizacijos saugume reikia rasti anksčiau, nei jas randa piktavaliai

Klausimas vadovui čia paprastas: kas jūsų įmonėje atsakingas už tai, kad visos iš interneto pasiekiamos sistemos būtų atnaujintos? Ne „IT kažkada padaro", o konkretus žmogus, konkretus procesas, reguliarus patikrinimas. Reguliarus pažeidžiamumų skenavimas - viena iš bazinių SOC (saugumo operacijų centro) veiklų būtent dėl šios priežasties: spragas reikia rasti anksčiau nei jas randa piktavaliai.


2. Skirtumas tarp apsaugos ir stebėsenos


Nuo įsilaužimo iki aktyvios atakos praėjo apie vienuolika dienų. Visą tą laiką svetimas žmogus vaikščiojo po įmonės tinklą, rinko slaptažodžius ir ruošė smūgį, tačiau niekas to nepastebėjo.


Čia verta stabtelėti, nes tai pati svarbiausia pamoka. Šios vienuolika dienų buvo langas, per kurį incidentą dar buvo galima sustabdyti be didelės žalos: pastebėti neįprastą prisijungimą, keistą aktyvumą serveryje, neįprastą duomenų judėjimą. Kiekviename žingsnyje piktavalis paliko pėdsakų įvykių žurnaluose (angl. - logs) - automatiniuose sistemų „dienoraščiuose", kuriuose fiksuojama, kas, kada ir iš kur jungėsi. Bet žurnalai patys savęs neperskaito - reikia, kad kažkas stebėtų.


Būtent tuo skiriasi apsauga nuo stebėsenos. Ugniasienė ir antivirusinė yra spynos ir tvoros - jos šios atakos nesustabdė, nes piktavalis įėjo pro neužrakintas duris. O nuolatinės stebėsenos, kuri būtų pastebėjusi svetimą žmogų viduje, nebuvo. Apie tai plačiau rašėme įraše paaiškinančiame kas yra SOC - ir LVM atvejis yra tiksli to teksto iliustracija, tik, deja, reali.


Ką daro SOC?
Su SOC stebėjimu, į LVM sistemas patekę įsilaužėliai galėjo būti pastebėti dar tą pačią dieną, o ne po beveik dviejų savaičių

Atkreipkite dėmesį ir į laiką: aktyvioji fazė prasidėjo naktį prieš šventes. Tai ne sutapimas, o standartinė taktika - apie ją dar 2021 m. atskirą įspėjimą paskelbė JAV agentūros FTB ir CISA. Piktavaliai smogia tada, kai niekas nežiūri. Todėl stebėsena, kuri veikia tik darbo valandomis, apsaugo tik nuo mandagių įsilaužėlių.


3. Atsarginės kopijos buvo - ir buvo ištrintos


LVM turėjo atsargines kopijas. Piktavaliai jas ištrynė prieš šifruodami duomenis - nes šiuolaikinė ransomware ataka visada pirmiausia taikosi būtent į kopijas. Užšifruoti duomenis, kai auka turi veikiančias kopijas, beprasmiška: išpirkos niekas nemokės.


Klausimas „per kiek laiko atkurtumėte duomenis?" turi turėti atsakymą iš patirties, o ne iš vilties.

Praktinė išvada: jei jūsų atsarginės kopijos pasiekiamos iš to paties tinklo tais pačiais prisijungimais, jos yra ne draudimas, o jo iliuzija. Bent viena kopija turi būti atjungta arba apsaugota taip, kad jos nebūtų galima pakeisti ar ištrinti net turint administratoriaus prieigą. Ir ne mažiau svarbu - atkūrimą reikia būti išbandžius.


Atsarginės kopijos

Tikroji kaina - ne išpirka


Skaičiuojant atakos žalą, 600 000 eurų išpirka - kad ir nemaža - nėra didžiausia problema; LVM teigia, kad jos netgi negavo, o jei ir būtų gavusi - nebūtų mokėjusi. Tikroji kaina atrodo kitaip: kelias savaites neveikiančios sistemos, du trečdaliai klientų likę be prieigos prie paslaugų, tūkstančiai darbuotojų su keičiamais slaptažodžiais, galimai nutekinti asmens duomenys, papildomas priežiūros institucijų dėmesys ir antraštės žiniasklaidoje.


Įprastai įmonei toks piktavalių įsilaužimas reikštų kelias savaites be apskaitos, užsakymų sistemos ir klientų duomenų - ir nepatogiu klientų klausimu: „ar galiu jumis pasitikėti?"


Trys klausimai, kuriuos verta užduoti šią savaitę


Net jei LVM ataka atrodo tolima, verta atsižvelgti į mūsų kaimynų situaciją ir užduoti konkrečius klausimus savo IT komandai ar paslaugų tiekėjui, siekiant išsiaiškinti, ar jūsų įmonė netaptų tokio pačio scenarijaus auka:


  1. Ar turime iš interneto pasiekiamų sistemų, kurios nebuvo atnaujintos ilgiau nei kelis mėnesius? Jei atsakymo niekas nežino - tai jau atsakymas.

  2. Jei svetimas žmogus šiandien prisijungtų prie mūsų tinklo, per kiek laiko tai pastebėtume? LVM atveju atsakymas buvo „po vienuolikos dienų - kai piktavaliai pradėjo šifruoti duomenis ir dingo prieiga prie jų".

  3. Ar mūsų atsarginės kopijos atlaikytų ataką, kurios tikslas - jas sunaikinti? Ir ar kada nors bandėme iš jų realiai atsistatyti?


Šie klausimai aktualūs ne tik dėl rizikos: Kibernetinio saugumo įstatymas (KSĮ) iš daugelio Lietuvos organizacijų jau dabar reikalauja ir sistemų atnaujinimo tvarkos, ir gebėjimo pastebėti incidentus, ir pranešti apie juos Nacionaliniam kibernetinio saugumo centrui (NKSC) per 24 valandas.


Skaudi kaimynų pamoka lietuviškam verslui


LVM istorijoje nėra nieko, kas negalėtų įvykti Lietuvoje - CERT.LV duomenimis, ta pati grupuotė regione tebeveikia ir ieško naujų taikinių. Skirtumas tarp įmonės, kuri tokią ataką pastebi pirmą dieną, ir tos, kuri sužino po vienuolikos dienų iš užšifruotų failų, yra ne technologijos, o nuolatinė stebėsena ir aiškiai sudėlioti procesai.


Jei norite žinoti, kaip jūsų organizacija atrodytų šiame scenarijuje - nuo neatnaujintų sistemų iki atsarginių kopijų atsparumo - pasikalbėkime. Mūsų teikiama SOC paslauga kartu su CISO kuriama kibernetinio saugumo strategija leidžia pasiekti pilną kibernetinio saugumo atitiktį iš vienų rankų.



 
 

Ženkite pirmąjį žingsnį

Kibernetinio saugumo atitiktis neįvyksta per dieną - susisiekite su mumis ir pradėkite jos siekti

bottom of page