Kas küberkurjategijad häkivad teie süsteeme või lihtsalt logivad sisse?

Milleks ust maha murda ja maja alarm sisse lülitada, kui sul on võti ja kood, millega saad vaikselt sisse astuda? See ongi põhjendus küberjulgeoleku valdkonnas valitsevale trendile, kus vaenlased püüavad üha enam varastada paroole ja isegi autentimistokeneid ja sessiooniküpsiseid, et MFA-koodidest mööda hiilida ja võrkudesse pääseda, maskeerudes seaduslikeks kasutajateks.

Verizoni andmetel on varastatud kasutajatunnuste kasutamine olnud viimastel aastatel üks populaarsemaid meetodeid süsteemidesse juurdepääsu saamiseks. Raportis märgitakse, et varastatud kasutajatunnuste kasutamine esines eelmisel aastal kolmandikus (32%) andmelekkejuhtumitest. Siiski, kui kurjategijatel on mitmeid viise kasutajatunnuste hankimiseks, on ka palju võimalusi neid selles takistada.

Miks kasutajatunnused on küberrünnakute lemmiksihiks?

Ühe hinnangu kohaselt varastati 2024. aastal ülemaailmsetelt ettevõtetelt üle 3,2 miljardi kasutajatunnuse, mis on eelmise aastaga võrreldes 33% rohkem. Nende abil pääsevad kurjategijad ettevõtete kontodele ja saavad oma järgmist sammu varju jäädes kavandada. See võib hõlmata ka mõningaid keerulisemaid kuritegevuse vorme, näiteks:

võrguluure: andmete, varade ja kasutajaõiguste otsimine, et edasi liikuda,
õiguste laiendamine, näiteks haavatavuste ärakasutamise teel, et tegevust laiendada ja jõuda kõrge väärtusega andmehoidlatesse/süsteemidesse,
salaja kaugserveriga (command-and-control server, C2) ühenduse loomine, et laadida alla täiendavat pahavara ja varastada andmeid.

Nende sammude abil saaks vaenlane läbi viia ka väga edukaid lunavara- ja muid rünnakuid.

Kuidas nad paroolid kätte saavad

Kurjategijad on välja töötanud mitmesuguseid viise, kuidas saada teada teie ettevõtte töötajate kasutajatunnuseid või mõnel juhul isegi nende mitmefaktorilise autentimise (MFA) koode. Nende hulka kuuluvad:

Petukirjad (phishing): e-kirjad või tekstisõnumid, mis on võltsitud nii, et need näivad olevat saadetud ametlikust allikast (nt IT-osakonnast või tehnoloogia tarnijalt). Selle saajat kutsutakse klõpsama pahatahtlikule lingile, mis viib ta võltsitud sisselogimislehele (mis meenutab nt Microsofti oma).
Häälpettused (vishing): see on petukirjade teema variatsioon, kus ohver saab kurjategijalt telefonikõne. Ta võib esineda IT-tugiisikuna ja paluda ohvril edastada parool või registreerida uus MFA-seade, osana mõnest väljamõeldud stsenaariumist. Kurjategija võib helistada ka tugiteenistusele, väites, et on keskastme juht või töötaja, kes vajab kiiret parooli taastamist, et oma tööd teha.
Andmevargad (infostealers): pahavara, mis on loodud selleks, et ohvri arvutist/seadmest sessiooniküpsiseid ja kasutajatunnuseid koguda. Selline pahavara võib saabuda pahatahtliku petulingi/-manuse, rikutud veebisaidi, lõksuga mobiilirakenduse, sotsiaalmeedia pettuse või isegi mitteametliku mängumuudatuse teel. Andmevargad on arvatavasti vastutavad 75% eest kõigist eelmisel aastal varastatud kasutajatunnustest.
Jõuga paroolirünnakud (brute-force attacks): nende hulka kuulub paroolidega pommitamine (credential stuffing), mille puhul ründajad proovivad ettevõtete veebisaitidel ja rakendustes kõiki varasemalt lahtimurtud kasutajanime ja parooli kombinatsioone. Paroolidega vaippommitamine (password spraying) kasutab aga levinud paroole, et proovida paljudele erinevatele veebisaitidele sisse logida. Automatiseeritud botid aitavad neil seda kiiresti ja laialt teha, kuni üks katse lõpuks toimib.
Sissepääs kolmandate isikute kaudu: kurjategijad häkivad sisse teenusepakkuja või partneri juurde, kes hoiab oma klientide kasutajatunnuseid, näiteks MSP- või SaaS-teenuse pakkuja. Või siis ostavad nad kokku juba lahtihäkitud sisselogimiskombinatsioonide kogumeid, et neid järgmistes rünnakutes kasutada.
MFA-st möödahiilimine: need meetodid hõlmavad SIM-kaardi vahetamist, MFA-päringutega pommitamist, mis ülekoormab sihtmärgi push-teavitustega, et tekitada „häireväsimus” ja saada üks push-kinnitus, ning vaheltvõtmised (Adversary-in-the-Middle, AitM), kus ründajad seavad end kasutaja ja õiguspärase autentimisteenuse vahele, et sidest MFA-sessiooni tokeneid lugeda.

Viimastel aastatel on olnud palju reaalseid näiteid paroolide teadasaamistest, mis on viinud suurte turvaintsidentideni. Nende hulka kuuluvad:

Change Healthcare: ühes 2024. aasta olulisimas küberrünnakus langes suur USA tervishoiutehnoloogia pakkuja Change Healthcare ohvriks lunavara-rühmitusele ALPHV (BlackCat). Rühmitus kasutas varastatud kasutajatunnuseid, et pääseda kaugjuurdepääsu teel serverisse, kus polnud sisse lülitatud mitmefaktorilist autentimist (MFA). Seejärel suurendasid nad oma õigusi, liikusid süsteemides laiemaks ja paigaldasid lunavara, mis viis lõpuks tervishoiusüsteemi enneolematute häireteni ja miljonite ameeriklaste tundlike andmete varguseni.
Snowflake: Rahalistel motiividel tegutsev küberkurjategija UNC5537 pääses ligi mitme kliendi Snowflake’i kliendibaasi instantsidele. See ulatuslik andmevargus ja väljapressimiskampaania mõjutas sadu miljoneid kliente. Arvatakse, et küberkurjategija pääses neisse keskkondadesse varem infostealer-pahavara abil varastatud kasutajatunnusega.

Hoidke silmad lahti

Kõik see teeb veelgi olulisemaks oma töötajate paroolide kaitsmise, sisselogimise turvalisemaks muutmise ja IT-keskkonna tähelepanelikuma jälgimise, et rikkumiste märgid ei jääks tähelepanuta.

Suurel määral on võimalik seda saavutada, järgides nullusalduse lähenemisviisi, mille aluseks on põhimõte: ära kunagi usalda, kontrolli alati. See tähendab riskipõhise autentimise kasutuselevõttu juba süsteemide perimeetril ja seejärel segmenteeritud võrgu erinevates etappides. Kasutajaid ja seadmeid tuleks hinnata nende riskiprofiili alusel, mida saab arvutada sisselogimise aja ja asukoha, seadmetüübi ja sessioonikäitumise põhjal. Et tugevdada oma organisatsiooni kaitset volitamata juurdepääsu eest ja tagada eeskirjade järgimine, on vaieldamatult vajalik kaitseliin ka kindel mitmefaktoriline autentimine (MFA).

Seda lähenemisviisi tuleks täiendada ajakohastatud koolituste ja teadlikkuse tõstmise programmidega töötajatele, sealhulgas reaalse elu simulatsioonidega, kaasates uusimaid sotsiaalse manipuleerimise võtteid. Olulised on ka ranged eeskirjad ja vahendid, mis takistavad kasutajatel külastada riskantseid veebisaite (kus võivad varitseda infovargad), samuti turvatarkvara kõikides serverites, lõppseadmetes ja muudes seadmetes ning pidevad töötavad seirevahendid kahtlase käitumise avastamiseks. Viimased aitavad teil avastada kurjategijaid, kes võivad olla varastatud kasutajatunnuse abil juba teie võrgus. Tegelikult peab organisatsioonidel olema paigas ka viis, kuidas vähendada häkitud kontodega tekitatavat kahju, näiteks järgides minimaalsete õiguste põhimõtet. Ja lõpuks võib ka tumeveebi jälgimine aidata teil teada saada, kas mõni ettevõtte kasutajanimedest on küberkuritegevuse varjatud turule müüki pandud.

Laiemas plaanis võiksite kaaluda ka ekspertide abi kasutamist, nimelt hallatud tuvastamise ja reageerimise (MDR) teenuse kaudu, eriti kui teie ettevõttel on ressursse vähe. Lisaks madalamatele kogukuludele pakub mainekas MDR-teenuse osutaja asjatundlikkust, ööpäevaringset seiret ja ohuotsingut ning analüütikute teadmisi, kes mõistavad paroolipõhiste sissetungide nüansse ja suudavad intsidentidele kiiresti reageerida, kui avastatakse kontode ohustamine.

ESET Blog 2025 nov. 19 - 09:39:26

IT uudised ja teadmised ESETi kogukonnalt

Sarnased artiklid

ILOVEYOU: valet tüüpi armastuskiri

Pahavara kampaania sihib GitHubis vabavara arendajaid

DNSi ründed: kuidas nad püüavad sind võltslehtedele suunata

Kaudne kahju: miks teenusepakkujad peaks hoolima kliendi turbest