Mis on ründevara?

Lugege lisateavet selle kohta, mis on ründevara, kuidas see töötab ning kuidas kaitsta ennast ja oma ettevõtet seda tüüpi küberrünnete eest.

Ründevara määratlus

Ründevara kujutab endast pahatahtlikku rakendust või koodi, mis kahjustab või takistab lõpp-punkti seadmete normaalset kasutamist. Kui seade nakatub ründevaraga, võib juhtuda, et teie seadmele antakse volituseta juurdepääs, andmed langevad ründe ohvriks või te ei pääse oma seadmesse seni, kuni maksate lunaraha.

 

Ründevara levitajaid ehk küberkurjategijaid motiveerib seda tegema raha ja nad kasutavad nakatunud seadmeid rünnakute korraldamiseks, nt panga identimisteabe hankimiseks, isikuandmete hankimiseks, et neid müüa, andmetöötlusressurssidele juurdepääsu müümiseks või ohvritelt makseteabe väljapressimiseks.

Kuidas ründevara töötab?

Ründevara kasutab keerukaid võtteid, et tõkestada seadme normaalset kasutust. Kui küberkurjategija on saanud juurdepääsu teie seadmele ühe või mitme erineva meetodi abil (nt andmepüügimeil, nakatunud fail, süsteemi- või tarkvaranõrkus, nakatunud USB-mäluseade või pahatahtlik veebisait), kasutab ta olukorda ära – korraldab täiendavad ründed, hangib konto identimisteabe, kogub müümiseks isikuandmeid, müüb juurdepääsu andmetöötlusressurssidele või pressib ohvritelt makseid välja.

 

Ründevararünde ohvriks võib sattuda igaüks. Kuigi mõned inimesed arvavad end teadvat, kuidas märgata teatud viise, kuidas ründajad proovivad ohvreid ründevaraga rünnata (nt teades, kuidas tuvastada andmepüügimeile), on küberkurjategijad targad ja arendavad pidevalt oma meetodeid, et käia kaasas tehnoloogia- ja turbetäiustustega. Ründevararünnete ilme ja toimimine sõltub ründevara tüübist. Näiteks see, kes on langenud juurkrati ründe ohvriks, ei pruugi seda ise teadagi, kuna seda tüüpi ründevara eesmärk on olla tagasihoidlik ja jääda võimalikult pikaks ajaks märkamatuks.

 

Siin on mõned viisid, kuidas küberkurjategijad proovivad ründevara seadmetesse sisestada.

Ründevara tüübid

Ründevara esineb mitmel kujul. Siit leiate levinud tüübid.

  • Andmepüük

    Andmepüügiründe korraldaja esitab end usaldusväärse allikana, et varastada meilisõnumite, veebisaitide, tekstsõnumite või muude elektroonilise side vahendite kaudu delikaatset teavet. Need ründed võimaldavad sisestada ründevara. Levinud rünnete korral varastatakse kasutajanimesid, paroole, krediitkaardiandmeid ja pangateavet. Seda tüüpi ründevararünded võivad kaasa tuua identiteedivarguse või raha varastamise otse isiku isiklikult pangakontolt või krediitkaardilt.

     

    Näiteks võib küberkurjategija esitada end tuntud pangana ja saata meilisõnumi, mis hoiatab kedagi, et tema konto on kahtlase tegevuse tõttu külmutatud, õhutades teda probleemi lahendamiseks klõpsama meilisõnumis olevat linki. Kui ta linki klõpsab, installitakse ründevara.

  • Nuhkvara

    Nuhkvara töötab nii, et installib end ise seadmesse ilma kellegi nõusolekuta või asjakohast teadet esitamata. Pärast installimist saab see jälgida võrgukäitumist, koguda delikaatset teavet, muuta seadme sätteid ja vähendada seadme jõudlust.

  • Reklaamvara

    Sarnaselt nuhkvaraga installib reklaamvara end ise seadmesse ilma kellegi nõusolekuta. Kuid reklaamvara puhul on fookus suunatud agressiivse reklaami kuvamisele (sageli hüpikakende kujul), et klõpsude pealt raha teenida. Need reklaamid aeglustavad sageli seadme jõudlust. Ohtlikumad reklaamivaratüübid võivad installida ka täiendavat tarkvara, muuta brauserisätteid ja muuta seadme haavatavaks muude ründevararünnete suhtes.

  • Viirused

    Viirused on loodud häirima seadme normaalset töötamist, salvestades, rikkudes või kustutades selle andmeid. Need levitavad end sageli teistesse seadmetesse, meelitades inimesi pahatahtlikke faile avama.

  • Ekspluateerimine ja ekspluateerimiskomplektid

    Ekspluateerimine kasutab tarkvara nõrkusi, et seadme nakatamiseks mööduda arvuti turbemeetmetest. Pahatahtlikud häkkerid otsivad aegunud süsteeme, mis sisaldavad kriitilisi nõrkusi, ning ekspluateerivad neid ründevara juurutamise teel. Lisades ekspluateerimisründesse kestakoodi, saavad küberkurjategijad alla laadida rohkem ründevara, mis nakatab seadmed ja imbub organisatsioonidesse.

     

    Ekspluateerimiskomplektid sisaldavad hulka ründevara, mis otsib eri tüüpi tarkvaranõrkusi. Nõrkuse tuvastamise korral juurutavad komplektid täiendava ründevara. Tarkvara, mis võidakse nakatada, on näiteks Adobe Flash Player, Adobe Reader, veebibrauserid, Oracle Java ja Sun Java. Ekspluateerimiskomplektide levinud tüübid on Angler/Axpergle, Neutrino ja Nuclear.

     

    Ekspluatatsioonid ja ekspluateerimiskomplektid kasutavad võrgu või seadme turbemurde tegemiseks tavaliselt pahatahtlikke veebisaite või meilimanuseid, aga mõnikord on need peidetud ka ehtsatel veebisaitidel olevatesse reklaamidesse, ilma et veebisait seda ise teaks.

  • Residentründevara

    Seda tüüpi küberrünne kujutab endast üldiselt ründevara, mis ei sõltu võrgu turbemurde tegemisel failidest (nagu näiteks nakatunud meilimanus). Need võivad saabuda näiteks pahatahtlike võrgupakettide kaudu, mis kasutavad ära nõrkust ja siis installivad ründevara, mis tegutseb ainult tuumamälus. Residentrünnete ohtu on eriti keeruline märgata ja eemaldada, kuna enamik viirusetõrjeprogramme pole loodud kontrollima püsivara.

  • Makroründevara

    Olete juba võib-olla tuttav makrodega, mille abil kiiresti levinud toiminguid automatiseerida. Makroründevara kasutab seda funktsiooni ära meilimanuseid ja ZIP-faile nakatades. Selleks et meelitada inimesi faile avama, peidavad küberkurjategijad ründevara sageli failidesse, mis on maskeeritud arveteks, kviitungiteks ja juriidilisteks dokumentideks.

     

    Varem oli makroründevara levinum, kuna makrod käivitati dokumendi avamisel automaatselt. Kuid Microsoft Office'i uusimates versioonides on makrod vaikimisi keelatud, mis tähendab, et küberkurjategijad, kes sel viisil seadmeid nakatavad, peavad veenma kasutajad makrod sisse lülitama.

  • Lunavara

    Lunavara on sellist tüüpi ründevara, mis ähvardab ohvrit, hävitades või blokeerides juurdepääsu kriitilise tähtsusega andmetele seniks, kuni lunaraha on makstud. Inimjuhitavad lunavararünded sihivad organisatsiooni levinud vigaste süsteemi- ja turbekonfiguratsioonide kaudu, mis imbuvad organisatsiooni sisse, liiguvad ettevõtte võrgus ning kohanduvad keskkonna ja nõrkustega. Levinud viis, kuidas lunavara sisestamiseks hangitakse juurdepääs organisatsiooni võrgule, on identimisteabe vargus, misjuhul võib küberkurjategija varastada reaalset töötajat teeseldes tema identimisteabe ning hankida juurdepääsu tema kontodele.

     

    Inimjuhitavat lunavara kasutavad ründajad sihivad suuri organisatsioone, kuna neil on võimalik maksta suuremat lunaraha kui keskmisel üksikisikul – lunavara suurus võib sageli olla mitu miljonit dollarit. Kuna sellises suuruses turbemurdega seotud ohud on väga suured, otsustavad paljud organisatsioonid pigem maksta lunaraha kui lasta oma delikaatsetel andmetel lekkida või riskida küberkurjategijate uute rünnakutega, ehkki lunaraha maksmine ei garanteeri kummagi tagajärje ärahoidmist.

     

    Kui inimjuhitavate lunavararünnete arv kasvab, muutuvad rünnakuid korraldavad kurjategijad paremini organiseerituks. Tegelikult kasutavad paljud lunavaratoimingud nüüd mudelit „lunavara teenusena“, mis tähendab, et kuritegelikud arendajad loovad ise lunavara ja palkavad seejärel küberkurjategijatest partnerid häkkima organisatsiooni võrku ja installima lunavara. Saadud kasum jagatakse kokkulepitud määraga kahe grupeeringu vahel.

  • Juurkratid

    Kui küberkurjategija kasutab juurkratti, peidab ta seadmes olevat ründevara nii kaua kui võimalik, mõnikord isegi aastaid, nii et see varastab pidevalt teavet ja ressursse. Katkestades ja muutes standardseid operatsioonisüsteemi protsesse, võib juurkratt muuta teavet, mida seade iseenda kohta edastab. Näiteks ei pruugi juurkratiga nakatunud seade kuvada täpset loendit töötavatest programmidest. Juurkratid võivad anda ka küberkurjategijatele administraatoriõigusi või kõrgendatud seadmeõigusi, nii et nad saavad seadme üle täieliku kontrolli ning võivad teha potentsiaalselt pahatahtlikke toiminguid, nt varastada andmeid, nuhkida ohvri järele ja installida täiendavat ründevara.

  • Tarneahelate ründed

    Seda tüüpi ründevara on suunatud tarkvaraarendajate ja -pakkujate vastu, hankides juurdepääsu lähtekoodile, koosteprotsessidele või värskendusmehhanismidele reaalsetes rakendustes. Kui küberkurjategija on leidnud ebaturvalise võrguprotokolli, kaitsmata serveritaristu või ebaturvalise kodeerimispraktika, murrab ta sisse, muudab lähtekoode ning peidab ründevara kooste- ja värskendusprotsessidesse.

  • Tehnilise toe pettused

    Tehnilise toe pettused, mis on kogu valdkonda hõlmav probleem, kasutavad hirmutamistaktikat, et meelitada kasutajaid maksma ebavajalike tehnilise toe teenuste eest, mida võidakse reklaamida kui vajadust lahendada seadme, platvormi või tarkvaraga seotud võltsprobleem. Seda tüüpi ründevara abil võib küberkurjategija kellelegi otse helistada ja teeselda tarkvaraettevõtte töötajat. Kui ründajad on võitnud kellegi usalduse, õhutavad nad sageli potentsiaalseid ohvreid installima rakendusi või andma neile seadmete jaoks kaugjuurdepääsu.

  • Troojahobu

    Troojahobud kasutavad ära kasutajat, kes laadib need teadmatult alla, kuna need paistavad olevat usaldusväärsed failid või rakendused. Pärast allalaadimist võivad nad teha järgmist.

    • Laadida alla ja installida täiendavat ründevara, nt viiruseid või usse.
    • Kasutada nakatunud seadet klõpsukelmuse jaoks.
    • Salvestada klahvivajutusi ja külastatud veebisaite.
    • Saata nakatunud seadmega seotud teavet (nt paroolid, sisselogimisandmed ja sirvimisajalugu) pahatahtlikule häkkerile.
    • Anda küberkurjategijale kontrolli nakatunud seadme üle.
  • Soovimatu tarkvara

    Kui seadmes on soovimatu tarkvara, võib see kasutajale kaasa tuua muudetud veebisirvimiskogemuse, muudetud kontrolli allalaadimiste ja installimiste üle, eksitavad sõnumid ja seadme sätete volitamata muudatused. Osa soovimatut tarkvara ühendatakse tarkvaraga, mida inimesed kavatsevad alla laadida.

  • Ussid

    Uss, mida leidub enamasti meilimanustes, tekstsõnumites, failijagamisprogrammides, suhtlusvõrgusaitidel, võrguketastel ja irdketastel, levib võrgu kaudu, kasutades ära turbenõrkusi ja kopeerides ennast. Olenevalt ussi tüübist võib see varastada delikaatset teavet, muuta teie turbesätteid või takistada teie juurdepääsu failidele.

  • Krüptorahakaevurid

    Krüptovaluutade populaarsuse kasvuga on krüptoraha kaevandamisest saanud tulus valdkond. Krüptorahakaevurid kasutavad krüptovaluutade kaevandamiseks seadme andmetöötlusressursse. Seda tüüpi ründevaraga nakatumine algab sageli meilimanusest, mis proovib installida ründevara, või veebisaidist, mis kasutab veebibrauserites olevaid nõrkusi või kasutab ära arvuti töötlusvõimsust, et seadmetesse ründevara lisada.

     

    Keerukate matemaatiliste arvutuste abil haldavad krüptorahakaevurid plokiahelaraamatut, et varastada arvutiressursse, mis võimaldavad kaevuril luua uut raha. Krüptoraha kaevandamine aga tarbib märkimisväärsel hulgal arvuti töötlusvõimsust, et varastada suhteliselt väikest hulka krüptovaluutasid. Seetõttu töötavad küberkurjategijad sageli meeskondades, et kasumit suurendada ja jagada.

     

    Kõik krüptorahakaevurid pole siiski kurjategijad – mõnikord ostavad organisatsioonid ja ettevõtted riistvara ja elektroonika võimsust ka seadusliku krüptorahakaevanduse jaoks. Tegu muutub kriminaalseks siis, kui küberkurjategija imbub ettevõtte teadmata ettevõtte võrku, et kasutada selle andmetöötlusvõimsust kaevandamise jaoks.

Ründevaratõrje

Kuigi ründevararünnete ohvriks võib saada igaüks, on ründe ärahoidmiseks siiski palju võimalusi.

  • Viirusetõrjeprogrammi installimine

    Parim kaitse on ennetus. Organisatsioonid saavad ründevararündeid blokeerida või tuvastada usaldusväärse ründevarateenuse turbelahenduse, näiteks Microsoft Defender for Endpointi või Microsoft Defender Antiviruse abil. Kui kasutate mõnda sellist programmi, kontrollib teie seade esmalt faile või linke, mida proovite avada, et veenduda nende ohutuses. Kui fail või veebisait on pahatahtlik, hoiatab programm teid sellest ja soovitab teil seda mitte avada. Need programmid saavad eemaldada ründevara ka seadmest, mis on juba nakatunud.

  • Täiustatud meili ja lõpp-punkti kaitsemeetmete rakendamine

    Ründevararünnete ärahoidmiseks saate kasutada lahendust Microsoft Defender for Office 365, mis kontrollib meilisõnumites ja koostööriistades (nt SharePoint, OneDrive ja Microsoft Teams) olevaid linke ja manuseid. Microsoft 365 Defenderi osana pakub Defender for Office 365 ründevararünnete ohu kõrvaldamiseks tuvastamis- ja reageerimisfunktsioone.

     

    Microsoft 365 Defenderi osaks olev Microsoft Defender for Endpoint kasutab lõpp-punkti käitumisandureid, pilvlahenduste turbeanalüüsi ja ohuanalüüsi, et aidata organisatsioonidel keerukaid ohte ennetada, tuvastada ja uurida ning neile reageerida.

  • Regulaarsed koolitused

    Hoidke töötajaid regulaarsete koolituste abil kursis sellega, kuidas panna tähele märke andmepüügist ja muudest küberrünnetest. Lisaks turvalisematele töötavadele õpetab see neid olema ettevaatlikumad isiklike seadmete kasutamisel. Simuleerimis- ja koolitustööriistad, näiteks Defender for Office 365 ründesimulatsioonide koolitused, aitavad simuleerida teie keskkonnas reaalseid ohte ja määrata simulatsiooni tulemuse põhjal lõppkasutajatele koolitusi.

  • Pilvvarukoopiate kasutamine

    Kui teisaldate oma andmed pilvepõhisesse teenusesse, saate andmed turvalisemaks säilitamiseks hõlpsasti varundada. Kui teie andmed peaksid sattuma ründevara ohvriks, aitavad need teenused tagada, et taastamine on kohene ja täielik.

  • Täisusaldamatuse mudeli kasutuselevõtt

    Täisusaldamatuse mudel hindab seadmete ja kasutajate ohte, enne kui lubab neil juurde pääseda rakendustele, failidele, andmebaasidele ja muudele seadmetele. Sellega vähendatakse tõenäosust, et pahatahtlik identiteet või seade pääseb ressurssidele juurde ja saab ründevara installida. Näiteks on täisusaldamatuse mudeli ühe komponendi – mitmikautentimise – rakendamine tõestatult vähendanud identiteedirünnete tõhusust enam kui 99% võrra. Et hinnata oma organisatsiooni täisusaldamatuse valmidust, osalege meie täisusaldamatuse valmiduse hinnangus.

  • Teabejagamisrühmaga liitumine

    Teabejagamisrühmad, mis on sageli korraldatud valdkonna või geograafilise asukoha järgi, julgustavad sarnase struktuuriga organisatsioone tegema küberturbelahenduste vallas koostööd. Need rühmad toovad organisatsioonile mitmesugust kasu, näiteks intsidendikäsitluse ja digiekspertiisiteenused, uusimate ohtudega seotud uudised ning avalike IP-aadresside vahemike ja domeenide jälgimine.

  • Võrguühenduseta varukoopiate haldamine

    Kuna osa ründevarast proovib otsida ja kustutada mis tahes võrguühendusega varukoopiaid, on mõistlik säilitada delikaatsetest andmetest värskendatud võrguühenduseta varukoopia, mida te regulaarselt testite, et tagada selle taastatavus võimaliku ründevararünnaku korral.

  • Tarkvara ajakohasena hoidmine

    Lisaks viirusetõrjelahenduste ajakohasena hoidmisele (võiksite kasutada automaatvärskendusi) laadige kindlasti alla ja installige kõik muud süsteemivärskendused ja tarkvarapaigad kohe, kui need on kättesaadavad. See aitab vähendada turbenõrkusi, mida küberkurjategija võib ära kasutada, et teie võrgule või seadmetele juurdepääsu hankida.

  • Intsidendikäsitluse plaani loomine

    Just nagu hädaabiskeem, mida kasutate tulekahju korral kodust lahkudes ja mis aitab tagada teie ohutuse ja ettevalmistuse, pakub intsidendikäsitluse plaan teile praktilisi juhiseid erinevate ründestsenaariumite korral juhuks, kui olete sattunud ründevararünde ohvriks, et saaksite kiiresti ja võimalikult ohutult tavapärase töö juurde naasta.

Ründevara tuvastamine ja eemaldamine

Ründevara pole alati lihtne tuvastada, eriti kui tegu on residentründevaraga. Nii organisatsioonidel kui ka üksikisikutel on soovitatav olla tähelepanelik, kui nad märkavad hüpikreklaamide, veebibrauseri ümbersuunamiste, suhtlusvõrgukontode kahtlaste postituste ja rünnaku ohvriks langenud kontode või seadme turbega seotud sõnumite hulga suurenemist. Ohu märgiks võivad olla ka seadme jõudluse muudatused (nt seade töötab aeglasemalt).

 

Kui muretsete, et olete sattunud ründevararünde ohvriks, on teil selle tuvastamiseks ja eemaldamiseks õnneks teatud võimalused. Esiteks kasutage viirusetõrjetooteid, nt seda, mida pakutakse ründevara otsimiseks Windowsis endas. Kui olete installinud viirusetõrjeprogrammi, käivitage seadme kontroll, et otsida pahatahtlikke programme või koodi. Kui programm tuvastab ründevara, loetleb see selle tüübi ja eemaldamissoovitused. Pärast eemaldamist veenduge, et hoiate tarkvara ajakohase ja töös, et vältida tulevasi rünnakuid.

 

Organisatsioonide vastu tehtud keerukamate rünnete korral, mida viirusetõrjeprogrammid ei suuda tuvastada ja blokeerida, pakuvad turbeteabe ja -sündmuste halduse (SIEM) ning laiendatud ohutuvastuse ja -kõrvalduse (XDR) tööriistad turbespetsialistidele pilvepõhiseid lõpp-punkti turbemeetodeid, mis aitavad tuvastada lõpp-punkti seadmete rünnakuid ja neile reageerida. Kuna seda tüüpi rünnakud on mitmetahulised – küberkurjategijad võtavad eesmärgiks rohkem kui ainult kontrolli seadmete üle –, annavad SIEM ja XDR organisatsioonidele rünnakutest parema ülevaate kõigis domeenides (sh seadmed, meilikontod ja rakendused).

 

Viirusetõrjelahenduste kasutuselevõtu esimene mõistlik samm on hakata kasutama selliseid SIEM-i ja XDR-i tööriistu nagu Microsoft Sentinel, Microsoft 365 Defender ja Microsoft Defender for Cloud. Ründevaraohtude vältimiseks peaksid turbespetsialistid tagama, et seadme sätted oleksid alati ajakohased ning vastaksid uusimatele soovitustele.

Ründevara- ja turbelahendused

Korduma kippuvad küsimused

|

Kahjuks võib ründevararünnaku ohvriks sattuda igaüks. Küberkurjategijad on muutunud järjest targemaks, imiteerides meilisõnumeid ja muud suhtlust organisatsioonidelt, kellega te juba äri ajate (nt teie pank). Muud tüüpi ründevara võib äratada veelgi vähem kahtlust ning olla peidetud tarkvarasse, mille kavatsete alla laadida.

 

Investeering ennetavatesse lahendustesse, nt ohutõrjeteenustesse, on toimiv viis vältida seda, et ründevara teie võrku või seadmeid üldse nakatab. Seetõttu ei satu isikud ja organisatsioonid, kes kasutavad juba enne rünnaku toimumist viirusetõrjeprogramme ja muid turbeprotokolle (täisusaldamatuse mudel), tõenäoliselt ründevararünnaku ohvriks.

Ründevararünded toimuvad eri viisidel. Võite klõpsata pahatahtlikku linki, avada nakatunud meilimanuse või teha mitte midagi – mõni rünne jahib seadme turbenõrkusi, kui te pole nendega tegelenud.

Ründevararünded võivad olla laastavad (nt varastades teie identiteedi ja raha), aga ka veidi vähem tõsised, kuid siiski pealetükkivad (näiteks kuvades teie seadmes soovimatuid reklaame).

Viirusetõrjeprogramm on sellist tüüpi tarkvara, mis kaitseb teid aktiivselt ründevara eest ja eemaldab selle teie seadmest. Kui olete installinud viirusetõrjeteenuse, saate enne ohustatud faili või lingi avamist teatise, mis hoiatab teid, et see on potentsiaalselt ebaturvaline.

Ründevararünnete vältimiseks on parim võimalus alla laadida ja installida viirusetõrjeprogramm, mis jälgib teie seadme tegevust ja toiminguid ning märgistab kõik kahtlased failid, lingid või programmid enne, kui need probleemiks muutuvad.