Mis on ründevara?
Lugege lisateavet selle kohta, mis on ründevara, kuidas see töötab ning kuidas kaitsta ennast ja oma ettevõtet seda tüüpi küberrünnete eest.
Ründevara määratlus
Ründevara kujutab endast pahatahtlikku rakendust või koodi, mis kahjustab või takistab lõpp-punkti seadmete normaalset kasutamist. Kui seade nakatub ründevaraga, võib juhtuda, et teie seadmele antakse volituseta juurdepääs, andmed langevad ründe ohvriks või te ei pääse oma seadmesse seni, kuni maksate lunaraha.
Ründevara levitajaid ehk küberkurjategijaid motiveerib seda tegema raha ja nad kasutavad nakatunud seadmeid rünnakute korraldamiseks, nt panga identimisteabe hankimiseks, isikuandmete hankimiseks, et neid müüa, andmetöötlusressurssidele juurdepääsu müümiseks või ohvritelt makseteabe väljapressimiseks.
Kuidas ründevara töötab?
Ründevara kasutab keerukaid võtteid, et tõkestada seadme normaalset kasutust. Kui küberkurjategija on saanud juurdepääsu teie seadmele ühe või mitme erineva meetodi abil (nt andmepüügimeil, nakatunud fail, süsteemi- või tarkvaranõrkus, nakatunud USB-mäluseade või pahatahtlik veebisait), kasutab ta olukorda ära – korraldab täiendavad ründed, hangib konto identimisteabe, kogub müümiseks isikuandmeid, müüb juurdepääsu andmetöötlusressurssidele või pressib ohvritelt makseid välja.
Ründevararünde ohvriks võib sattuda igaüks. Kuigi mõned inimesed arvavad end teadvat, kuidas märgata teatud viise, kuidas ründajad proovivad ohvreid ründevaraga rünnata (nt teades, kuidas tuvastada andmepüügimeile), on küberkurjategijad targad ja arendavad pidevalt oma meetodeid, et käia kaasas tehnoloogia- ja turbetäiustustega. Ründevararünnete ilme ja toimimine sõltub ründevara tüübist. Näiteks see, kes on langenud juurkrati ründe ohvriks, ei pruugi seda ise teadagi, kuna seda tüüpi ründevara eesmärk on olla tagasihoidlik ja jääda võimalikult pikaks ajaks märkamatuks.
Siin on mõned viisid, kuidas küberkurjategijad proovivad ründevara seadmetesse sisestada.
Ründevara tüübid
Ründevara esineb mitmel kujul. Siit leiate levinud tüübid.
Andmepüük
Andmepüügi ründe korraldaja esitab end usaldusväärse allikana, et varastada meilisõnumite, veebisaitide, tekstsõnumite või muude elektroonilise side vahendite kaudu delikaatset teavet. Need ründed võimaldavad sisestada ründevara. Levinud rünnete korral varastatakse kasutajanimesid, paroole, krediitkaardiandmeid ja pangateavet. Seda tüüpi ründevararünded võivad kaasa tuua identiteedivarguse või raha varastamise otse isiku isiklikult pangakontolt või krediitkaardilt.
Näiteks võib küberkurjategija esitada end tuntud pangana ja saata meilisõnumi, mis hoiatab kedagi, et tema konto on kahtlase tegevuse tõttu külmutatud, õhutades teda probleemi lahendamiseks klõpsama meilisõnumis olevat linki. Kui ta linki klõpsab, installitakse ründevara.
Nuhkvara
Nuhkvara töötab nii, et installib end ise seadmesse ilma kellegi nõusolekuta või asjakohast teadet esitamata. Pärast installimist saab see jälgida võrgukäitumist, koguda delikaatset teavet, muuta seadme sätteid ja vähendada seadme jõudlust.
Reklaamvara
Sarnaselt nuhkvaraga installib reklaamvara end ise seadmesse ilma kellegi nõusolekuta. Kuid reklaamvara puhul on fookus suunatud agressiivse reklaami kuvamisele (sageli hüpikakende kujul), et klõpsude pealt raha teenida. Need reklaamid aeglustavad sageli seadme jõudlust. Ohtlikumad reklaamivaratüübid võivad installida ka täiendavat tarkvara, muuta brauserisätteid ja muuta seadme haavatavaks muude ründevararünnete suhtes.
Viirused
Viirused on loodud häirima seadme normaalset töötamist, salvestades, rikkudes või kustutades selle andmeid. Need levitavad end sageli teistesse seadmetesse, meelitades inimesi pahatahtlikke faile avama.
Ekspluateerimine ja ekspluateerimiskomplektid
Ekspluateerimine kasutab tarkvara nõrkusi, et seadme nakatamiseks mööduda arvuti turbemeetmetest. Pahatahtlikud häkkerid otsivad aegunud süsteeme, mis sisaldavad kriitilisi nõrkusi, ning ekspluateerivad neid ründevara juurutamise teel. Lisades ekspluateerimisründesse kestakoodi, saavad küberkurjategijad alla laadida rohkem ründevara, mis nakatab seadmed ja imbub organisatsioonidesse.
Ekspluateerimiskomplektid sisaldavad hulka ründevara, mis otsib eri tüüpi tarkvaranõrkusi. Nõrkuse tuvastamise korral juurutavad komplektid täiendava ründevara. Tarkvara, mis võidakse nakatada, on näiteks Adobe Flash Player, Adobe Reader, veebibrauserid, Oracle Java ja Sun Java. Ekspluateerimiskomplektide levinud tüübid on Angler/Axpergle, Neutrino ja Nuclear.
Ekspluatatsioonid ja ekspluateerimiskomplektid kasutavad võrgu või seadme turbemurde tegemiseks tavaliselt pahatahtlikke veebisaite või meilimanuseid, aga mõnikord on need peidetud ka ehtsatel veebisaitidel olevatesse reklaamidesse, ilma et veebisait seda ise teaks.
Residentründevara
Seda tüüpi küberrünne kujutab endast üldiselt ründevara, mis ei sõltu võrgu turbemurde tegemisel failidest (nagu näiteks nakatunud meilimanus). Need võivad saabuda näiteks pahatahtlike võrgupakettide kaudu, mis kasutavad ära nõrkust ja siis installivad ründevara, mis tegutseb ainult tuumamälus. Residentrünnete ohtu on eriti keeruline märgata ja eemaldada, kuna enamik viirusetõrjeprogramme pole loodud kontrollima püsivara.
Makroründevara
Olete juba võib-olla tuttav makrodega, mille abil kiiresti levinud toiminguid automatiseerida. Makroründevara kasutab seda funktsiooni ära meilimanuseid ja ZIP-faile nakatades. Selleks et meelitada inimesi faile avama, peidavad küberkurjategijad ründevara sageli failidesse, mis on maskeeritud arveteks, kviitungiteks ja juriidilisteks dokumentideks.
Varem oli makroründevara levinum, kuna makrod käivitati dokumendi avamisel automaatselt. Kuid Microsoft Office'i uusimates versioonides on makrod vaikimisi keelatud, mis tähendab, et küberkurjategijad, kes sel viisil seadmeid nakatavad, peavad veenma kasutajad makrod sisse lülitama.
Lunavara
Lunavara on teatud tüüpi ründevara, mis ähvardab ohvrit, hävitades või blokeerides juurdepääsu kriitilistele andmetele kuni lunaraha maksmiseni. Inimjuhitavad lunavararünded sihivad organisatsiooni levinud vigaste süsteemi- ja turbekonfiguratsioonide kaudu, mis imbuvad organisatsiooni sisse, liiguvad ettevõtte võrgus ning kohanduvad keskkonna ja nõrkustega. Levinud viis, kuidas lunavara sisestamiseks hangitakse juurdepääs organisatsiooni võrgule, on identimisteabe vargus, misjuhul võib küberkurjategija varastada reaalset töötajat teeseldes tema identimisteabe ning hankida juurdepääsu tema kontodele.
Inimjuhitavat lunavara kasutavad ründajad sihivad suuri organisatsioone, kuna neil on võimalik maksta suuremat lunaraha kui keskmisel üksikisikul – lunavara suurus võib sageli olla mitu miljonit dollarit. Kuna sellises mastaabis turbemurdega seotud ohud on väga tõsised, otsustavad paljud ettevõtted pigem maksta lunaraha kui lasta oma delikaatsetel andmetel lekkida või riskida küberkurjategijate uute rünnetega, ehkki lunaraha maksmine ei garanteeri kummagi tagajärje ärahoidmist.
Kui inimjuhitavate lunavararünnete arv kasvab, muutuvad rünnakuid korraldavad kurjategijad paremini organiseerituks. Tegelikult kasutavad paljud lunavaratoimingud nüüd mudelit „lunavara teenusena“, mis tähendab, et kuritegelikud arendajad loovad ise lunavara ja palkavad seejärel küberkurjategijatest partnerid häkkima organisatsiooni võrku ja installima lunavara. Saadud kasum jagatakse kokkulepitud määraga kahe grupeeringu vahel.
Juurkratid
Kui küberkurjategija kasutab juurkratti, peidab ta seadmes olevat ründevara nii kaua kui võimalik, mõnikord isegi aastaid, nii et see varastab pidevalt teavet ja ressursse. Katkestades ja muutes standardseid operatsioonisüsteemi protsesse, võib juurkratt muuta teavet, mida seade iseenda kohta edastab. Näiteks ei pruugi juurkratiga nakatunud seade kuvada täpset loendit töötavatest programmidest. Juurkratid võivad anda ka küberkurjategijatele administraatoriõigusi või kõrgendatud seadmeõigusi, nii et nad saavad seadme üle täieliku kontrolli ning võivad teha potentsiaalselt pahatahtlikke toiminguid, nt varastada andmeid, nuhkida ohvri järele ja installida täiendavat ründevara.
Tarneahelate ründed
Seda tüüpi ründevara on suunatud tarkvaraarendajate ja -pakkujate vastu, hankides juurdepääsu lähtekoodile, koosteprotsessidele või värskendusmehhanismidele reaalsetes rakendustes. Kui küberkurjategija on leidnud ebaturvalise võrguprotokolli, kaitsmata serveritaristu või ebaturvalise kodeerimispraktika, murrab ta sisse, muudab lähtekoode ning peidab ründevara kooste- ja värskendusprotsessidesse.
Tehnilise toe pettused
Tehnilise toe pettused, mis on kogu valdkonda hõlmav probleem, kasutavad hirmutamistaktikat, et meelitada kasutajaid maksma ebavajalike tehnilise toe teenuste eest, mida võidakse reklaamida kui vajadust lahendada seadme, platvormi või tarkvaraga seotud võltsprobleem. Seda tüüpi ründevara abil võib küberkurjategija kellelegi otse helistada ja teeselda tarkvaraettevõtte töötajat. Kui ründajad on võitnud kellegi usalduse, õhutavad nad sageli potentsiaalseid ohvreid installima rakendusi või andma neile seadmete jaoks kaugjuurdepääsu.
Troojahobu
Troojahobud kasutavad ära kasutajat, kes laadib need teadmatult alla, kuna need paistavad olevat usaldusväärsed failid või rakendused. Pärast allalaadimist võivad nad teha järgmist:
- Laadida alla ja installida täiendavat ründevara, nt viiruseid või usse.
- Kasutada nakatunud seadet klõpsukelmuse jaoks.
- Salvestada klahvivajutusi ja külastatud veebisaite.
- Saata nakatunud seadmega seotud teavet (nt paroolid, sisselogimisandmed ja sirvimisajalugu) pahatahtlikule häkkerile.
- Anda küberkurjategijale kontrolli nakatunud seadme üle.
Soovimatu tarkvara
Kui seadmes on soovimatu tarkvara, võib see kasutajale kaasa tuua muudetud veebisirvimiskogemuse, muudetud kontrolli allalaadimiste ja installimiste üle, eksitavad sõnumid ja seadme sätete volitamata muudatused. Osa soovimatut tarkvara ühendatakse tarkvaraga, mida inimesed kavatsevad alla laadida.
Ussid
Uss, mida leidub enamasti meilimanustes, tekstsõnumites, failijagamisprogrammides, suhtlusvõrgusaitidel, võrguketastel ja irdketastel, levib võrgu kaudu, kasutades ära turbenõrkusi ja kopeerides ennast. Olenevalt ussi tüübist võib see varastada delikaatset teavet, muuta teie turbesätteid või takistada teie juurdepääsu failidele.
Krüptorahakaevurid
Krüptovaluutade populaarsuse kasvuga on krüptoraha kaevandamisest saanud tulus valdkond. Krüptorahakaevurid kasutavad krüptovaluutade kaevandamiseks seadme andmetöötlusressursse. Seda tüüpi ründevaraga nakatumine algab sageli meilimanusest, mis proovib installida ründevara, või veebisaidist, mis kasutab veebibrauserites olevaid nõrkusi või kasutab ära arvuti töötlusvõimsust, et seadmetesse ründevara lisada.
Keerukate matemaatiliste arvutuste abil haldavad krüptorahakaevurid plokiahelaraamatut, et varastada arvutiressursse, mis võimaldavad kaevuril luua uut raha. Krüptoraha kaevandamine aga tarbib märkimisväärsel hulgal arvuti töötlusvõimsust, et varastada suhteliselt väikest hulka krüptovaluutasid. Seetõttu töötavad küberkurjategijad sageli meeskondades, et kasumit suurendada ja jagada.
Kõik krüptorahakaevurid pole siiski kurjategijad – mõnikord ostavad organisatsioonid ja ettevõtted riistvara ja elektroonika võimsust ka seadusliku krüptorahakaevanduse jaoks. Tegu muutub kriminaalseks siis, kui küberkurjategija imbub ettevõtte teadmata ettevõtte võrku, et kasutada selle andmetöötlusvõimsust kaevandamise jaoks.
Ründevaratõrje
Kuigi ründevararünnete ohvriks võib saada igaüks, on ründe ärahoidmiseks siiski palju võimalusi.
Viirusetõrjeprogrammi installimine
Parim kaitse on ennetus. Organisatsioonid saavad ründevararündeid blokeerida või tuvastada usaldusväärse ründevarateenuse turbelahenduse, näiteks Microsoft Defender for Endpointi või Microsoft Defender Antiviruse abil. Kui kasutate mõnda sellist programmi, kontrollib teie seade esmalt faile või linke, mida proovite avada, et veenduda nende ohutuses. Kui fail või veebisait on pahatahtlik, hoiatab programm teid sellest ja soovitab teil seda mitte avada. Need programmid saavad eemaldada ründevara ka seadmest, mis on juba nakatunud.
Täiustatud meili ja lõpp-punkti kaitsemeetmete rakendamine
Ründevararünnete ärahoidmiseks saate kasutada lahendust Microsoft Defender for Office 365, mis kontrollib meilisõnumites ja koostööriistades (nt SharePoint, OneDrive ja Microsoft Teams) olevaid linke ja manuseid. Microsoft Defender XDR-i osana pakub Defender for Office 365 ründevararünnete ohu kõrvaldamiseks tuvastamis- ja reageerimisfunktsioone.
Microsoft Defender XDR-i osaks olev Microsoft Defender for Endpoint kasutab lõpp-punkti käitumisandureid, pilvlahenduste turbeanalüüsi ja ohuanalüüsi, et aidata organisatsioonidel keerukaid ohte ennetada, tuvastada ja uurida ning neile reageerida.
Regulaarsed koolitused
Hoidke töötajaid regulaarsete koolituste abil kursis sellega, kuidas panna tähele märke andmepüügist ja muudest küberrünnetest . Lisaks turvalisematele töötavadele õpetab see neid olema ettevaatlikumad isiklike seadmete kasutamisel. Simuleerimis- ja koolitustööriistad, näiteks Defender for Office 365 ründesimulatsioonide koolitused , aitavad simuleerida teie keskkonnas reaalseid ohte ja määrata simulatsiooni tulemuse põhjal lõppkasutajatele koolitusi.
Pilvvarukoopiate kasutamine
Kui teisaldate oma andmed pilvepõhisesse teenusesse, saate andmed turvalisemaks säilitamiseks hõlpsasti varundada. Kui teie andmed peaksid sattuma ründevara ohvriks, aitavad need teenused tagada, et taastamine on kohene ja täielik.
Täisusaldamatuse mudeli kasutuselevõtt
Täisusaldamatuse mudel hindab seadmete ja kasutajate ohte, enne kui lubab neil juurde pääseda rakendustele, failidele, andmebaasidele ja muudele seadmetele. Sellega vähendatakse tõenäosust, et pahatahtlik identiteet või seade pääseb ressurssidele juurde ja saab ründevara installida. Näiteks on täisusaldamatuse mudeliühe komponendi – mitmikautentimise – rakendamine tõestatult vähendanud identiteedirünnete tõhusust enam kui 99% võrra. Et hinnata oma organisatsiooni täisusaldamatuse valmidust, osalege meie täisusaldamatuse valmiduse hinnangus.
Teabejagamisrühmaga liitumine
Teabejagamisrühmad, mis on sageli korraldatud valdkonna või geograafilise asukoha järgi, julgustavad sarnase struktuuriga organisatsioone tegema küberturbelahenduste vallas koostööd. Need rühmad toovad organisatsioonile mitmesugust kasu, näiteks intsidendikäsitluse ja digiekspertiisiteenused, uusimate ohtudega seotud uudised ning avalike IP-aadresside vahemike ja domeenide jälgimine.
Võrguühenduseta varukoopiate haldamine
Kuna osa ründevarast proovib otsida ja kustutada mis tahes võrguühendusega varukoopiaid, on mõistlik säilitada delikaatsetest andmetest värskendatud võrguühenduseta varukoopia, mida te regulaarselt testite, et tagada selle taastatavus võimaliku ründevararünnaku korral.
Tarkvara ajakohasena hoidmine
Lisaks viirusetõrjelahenduste ajakohasena hoidmisele (võiksite kasutada automaatvärskendusi) laadige kindlasti alla ja installige kõik muud süsteemivärskendused ja tarkvarapaigad kohe, kui need on kättesaadavad. See aitab vähendada turbenõrkusi, mida küberkurjategija võib ära kasutada, et teie võrgule või seadmetele juurdepääsu hankida.
Intsidendikäsitluse plaani loomine
Just nagu hädaabiskeem, mida kasutate tulekahju korral kodust lahkudes ja mis aitab tagada teie ohutuse ja ettevalmistuse, pakub intsidendikäsitluse plaan teile praktilisi juhiseid erinevate ründestsenaariumite korral juhuks, kui olete sattunud ründevararünde ohvriks, et saaksite kiiresti ja võimalikult ohutult tavapärase töö juurde naasta.
Ründevara tuvastamine ja eemaldamine
Ründevara pole alati lihtne tuvastada, eriti kui tegu on residentründevaraga. Nii organisatsioonidel kui ka üksikisikutel on soovitatav olla tähelepanelik, kui nad märkavad hüpikreklaamide, veebibrauseri ümbersuunamiste, suhtlusvõrgukontode kahtlaste postituste ja rünnaku ohvriks langenud kontode või seadme turbega seotud sõnumite hulga suurenemist. Ohu märgiks võivad olla ka seadme jõudluse muudatused (nt seade töötab aeglasemalt).
Kui muretsete, et olete sattunud ründevararünde ohvriks, on teil selle tuvastamiseks ja eemaldamiseks õnneks teatud võimalused. Esiteks kasutage viirusetõrjetooteid, nt seda, mida pakutakse ründevara otsimiseks Windowsis endas. Kui olete installinud viirusetõrjeprogrammi, käivitage seadme kontroll, et otsida pahatahtlikke programme või koodi. Kui programm tuvastab ründevara, loetleb see selle tüübi ja eemaldamissoovitused. Pärast eemaldamist veenduge, et hoiate tarkvara ajakohase ja töös, et vältida tulevasi rünnakuid.
Organisatsioonide vastu tehtud keerukamate rünnete korral, mida viirusetõrjeprogrammid ei suuda tuvastada ja blokeerida, pakuvad turbeteabe ja -sündmuste halduse (SIEM) ning laiendatud ohutuvastuse ja -kõrvalduse (XDR) tööriistad turbespetsialistidele pilvepõhiseid lõpp-punkti turbemeetodeid, mis aitavad tuvastada lõpp-punkti seadmete rünnakuid ja neile reageerida. Kuna seda tüüpi rünnakud on mitmetahulised – küberkurjategijad võtavad eesmärgiks rohkem kui ainult kontrolli seadmete üle –, annavad SIEM ja XDR organisatsioonidele rünnakutest parema ülevaate kõigis domeenides (sh seadmed, meilikontod ja rakendused).
Viirusetõrjelahenduste kasutuselevõtu esimene mõistlik samm on hakata kasutama selliseid SIEM-i & XDR-i tööriistu nagu Microsoft Sentinel, Microsoft Defender XDRja Microsoft Defender for Cloud. Ründevaraohtude vältimiseks peaksid turbespetsialistid tagama, et seadme sätted oleksid alati ajakohased ning vastaksid uusimatele soovitustele.
Lisateave Microsofti turbeteenuse kohta
Microsoft Sentinel
Avastage keerukad ohud ja reageerige otsustavalt lihtsa ja võimsa SIEM-lahendusega, mis põhineb pilvel ja tehisintellektil.
Microsoft Defender XDR
Takistage valdkondadevahelisi rünnakuid ühtse XDR-lahenduse laiendatud läbipaistvuse ja võrratu tehisintellekti abil.
Microsoft Defender for Cloud
Tugevdage pilvepõhist turvet ning jälgige ja kaitske töökoormust mitmes pilvkeskkonnas.
Microsoft Defender for Office 365
Kaitske oma organisatsiooni ohtude eest, mis peidavad end meilisõnumites, linkides ja koostööriistades.
Microsofti digikaitsearuanne
Tutvuge praeguse ohumaastikuga ja digikaitse loomisega.
Korduma kippuvad küsimused
-
Kahjuks võib ründevararünnaku ohvriks sattuda igaüks. Küberkurjategijad on muutunud järjest targemaks, imiteerides meilisõnumeid ja muud suhtlust organisatsioonidelt, kellega te juba äri ajate (nt teie pank). Muud tüüpi ründevara võib äratada veelgi vähem kahtlust ning olla peidetud tarkvarasse, mille kavatsete alla laadida.
Investeering ennetavatesse lahendustesse, nt ohutõrjeteenustesse, on toimiv viis vältida seda, et ründevara teie võrku või seadmeid üldse nakatab. Seetõttu ei satu isikud ja organisatsioonid, kes kasutavad juba enne rünnaku toimumist viirusetõrjeprogramme ja muid turbeprotokolle ( täisusaldamatuse mudel), tõenäoliselt ründevararünnaku ohvriks.
-
Ründevararünded toimuvad eri viisidel. Võite klõpsata pahatahtlikku linki, avada nakatunud meilimanuse või teha mitte midagi – mõni rünne jahib seadme turbenõrkusi, kui te pole nendega tegelenud.
-
Ründevararünded võivad olla laastavad (nt varastades teie identiteedi ja raha), aga ka veidi vähem tõsised, kuid siiski pealetükkivad (näiteks kuvades teie seadmes soovimatuid reklaame).
-
Viirusetõrjeprogramm on sellist tüüpi tarkvara, mis kaitseb teid aktiivselt ründevara eest ja eemaldab selle teie seadmest. Kui olete installinud viirusetõrjeteenuse, saate enne ohustatud faili või lingi avamist teatise, mis hoiatab teid, et see on potentsiaalselt ebaturvaline.
-
Ründevararünnete vältimiseks on parim võimalus alla laadida ja installida viirusetõrjeprogramm, mis jälgib teie seadme tegevust ja toiminguid ning märgistab kõik kahtlased failid, lingid või programmid enne, kui need probleemiks muutuvad.
Jälgige Microsofti turbeteenust