25. juuli 2016

Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Veebilehtede ülevõtmise protsess on häkkerite poolt tänaseks automatiseeritud. Varasemalt tuntud SoakSoak botnet on uuenenud ning skännib nüüd igapäevaselt veebilehti, mis omavad endas mõnd populaarset haavatavust. Kõige populaarsem haavatavus on endiselt legendaarne Wordpress'i lisapistiku Revslider Shell Upload.

Kui 90ndatel nakatati arvuteid viirustega enamasti läbi e-mail’ide, siis tänapäeval on põhiliseks allikaks häkitud veebilehed, mis suunavad külastajad ründaja poolt ette valmistatud veebilehele, kus pahavara ohvri arvutisse paigaldatakse. 2013. aasta andmete järgi häkiti valimatult pea 30 000 veebilehte päevas. 2016. aastaks on päevas häkitud veebilehtede arv tõusnud 37 000ni. Ainuüksi juulis oleme Eestis ESECi poolt taastanud üle kümne ettevõtte veebilehe.

Juuli alguses toimus järjekordne suuremat sorti rünnakute laine. Nüüdseks on olukord juba palju tõsisem. Krüptoviiruste tekkega on ründajatel võimalik kodulehtede rüüstamisega teenida senisest palju enam tulu, sest teoreetiliselt võimalik iga nakatunu käest küsida kuitahes palju lunaraha.

Kuidas toimub kodulehe rüüstamine?

Automaatsed skännerid otsivad veebist aegunud sisuhaldussüsteemidega kodulehti, millel pesitsevad kindlat tüüpi haavatavused. Kõige lihtsamaks saagiks on Wordpressi aegunud versioonid või paigaldatud aegunud moodulite versioonid. Veebileht nakatatakse pahavaraga ning liiklus suunatakse ümber ettevalmistatud lõksule, mis püüab mööda pääseda arvuti viirusetõrje programmidest ja otsib erinevat sorti haavatavat tarkvara nagu näiteks aegunud Flash'i versioonid ja Microsoft Office haavatavad versioonid ning ka veebilehitseja vanad versioonid. Kui tee arvutisse on leitud, siis paigaldatakse masinasse koheselt CryptXXX nimeline krüptoviirus, mis otsib üles kõik arvutiga ühendatud andmekandjad ning krüpteerib failid tugeva RSA-4096 algoritmiga.

See kõik käib peale nakatunud veebilehele sattumist mõne minutiga ning edasi ei jäägi muud üle, kui tuleb häkkerile tasuda näiteks 500 euro suurune lunaraha. Vastasel juhul on pea võimatu failidele ligi pääseda. Makse tuleb teostada bitcoinides ning kindlust, et makse sooritamisel failide avamiseks vajalik võti saadakse ei ole võimalik garanteerida. Kui nüüd tulla tagasi statistika juurde siis see on ulmeline 37 000 potentsiaalset ettevõtte ja pisiorganisatsiooni kodulehte, mis võib oma külastajaid pahavaraga nakatada.

Aga mida teha?

Veebilehte tellides tuleks arendajaga kohe töö alguses kokku leppida tarkvara ajakohane uuendamine ning hooldus, et taolised haavatavused veebilehele ei tekiks. Palju aitab ka lihtne .htaccess põhine tulemüür, mis automaatsed rünnaku katsed tuvastab ning seejärel pahatahtliku külastaja tee veebileheni katkestab. Kodulehe turvalisusesse investeerimine on suuremat sorti kokkuhoid ettenägematutest rünnakutest, mis võib päästa nii Teie ettevõtte maine, veebilehe töövõime, kui ka Teie enda ja klientide failid kasutuskõlbmatuks muutvast krüptoviirusest.

Autor: Oliver Sild