14. Andmeturve

 

Lunavara — kui Mitnicki valem ühegi teguri pealt komistab

Lunavara on kasvanud üksikutest pahatahtlikest kogemustest tervet majandusharu hõlmavaks ohuks. GuidePoint Securityi 2026. aasta jaanuari raporti järgi lisati 2025. aastal lekkesaitidele 7515 ohvrit, mis on 58% rohkem kui aasta varem ning kõigi aegade kõrgeim näit — keskmiselt 145 uut ohvrit nädalas. Sophose State of Ransomware 2025 uuringus tõuseb õngitsuse kui algvektori osakaal 11%-lt 18%-le. Eestis tõdeb RIA Küberturvalisuse aastaraamat 2026 artikkel "Lunavara: uued ründed, vanad vead", et 2025. aastal nakatusid lunavaraga ettevõtted, hambaravikeskus ja perearstikeskus. Logistikafirma juhtumis pääsesid ründajad sisse avalikult internetist leitava RDP-ühenduse ja jõuründega murtud nõrga parooli kaudu; perearstikeskuses krüpteeriti varukoopiad ja andmed kahes serveris ning kõige värskem puutumata varukoopia oli aastast 2021.

Just see kombinatsioon — nõrk autentimine, paigatamata kaugligipääs, varukoopiate puudumine — näitab, miks Mitnicki valem (tehnoloogia × koolitus × reeglid) just lunavara puhul nii valus on. Kui üks kolmest on null, on tulemus null sõltumata ülejäänutest.

Tehnoloogia

Tehniliselt põhjuseks on enamasti kolm asja: avalikult leitav RDP, MFA puudumine ja paigatamata haavatavused. CISA #StopRansomware Guide nõuab nii MFA-d (eelistatult õngituskindlat — FIDO2/WebAuthn või PIV-kaardid, mitte SMS-i) igal kaugligipääsuteel kui ka võrgu segmenteerimist, et külgsuunalist liikumist piirata. RIA aprilli 2025 ohuhinnang lisab konkreetse soovituse: panna RDP VPN-i taha, lubada ühendus vaid tuntud IP-aadressidelt ja lülitada sisse kaheastmeline autentimine. Varukoopiate osas kehtib reegel "vähemalt üks koopia offline-režiimis" — RIA juhend rõhutab, et lunavara võib taustal töötada päevi enne avastamist ja seetõttu krüpteeritakse koos põhiandmetega ka kõik võrgust kättesaadavad varukoopiad. Lisaks: meili- ja veebilüüs blokeerigu käivitatavate failide ning konteineriformaatide (.zip, .iso, .7z jt) läbilaskmine, EDR/logimine olgu igal serveril sees.

Koolitus

Sophose 2025 andmetel on õngitsus taas kasvav algvektor. Tehnoloogia üksi seda ei lahenda — kasutaja peab tundma ära kahtlase manuse, ebatavalise saatja, võltsitud sisselogimislehe. CISA õngitsusjuhend "Stopping the Attack Cycle at Phase One" rõhutab regulaarset, korduvat koolitust koos simulatsioonidega ning lihtsa intsidendiraporteerimise mehhanismiga (näiteks "Report Phishing"-nupp Outlookis). Eraldi tähelepanu väärivad privilegeeritud kasutajad — IT-administraatorid ja juhtkond, kelle kontode vastu suunatakse sihitud rünnakuid. RIA juhtum, kus juhi kodune arvuti oli sama parooliga ühendatud nii era- kui töökontodele, näitab, et koolitus peab katma ka kaugtöö ja paroolihügieeni — eraldi paroolid, paroolihaldur, MFA igal pool.

Reeglid

Reeglistik peab muutma õige käitumise vaikevalikuks. Soovitused, mis toimivad: dokumenteeritud paroolipoliitika (pikad fraasid, kordusvabad, paroolihaldur), MFA-nõue kõigile kaugligipääsudele, vähimate õiguste printsiip (RIA juhend toob välja, et tugev pääsupoliitika võib lunavara käivitumise lausa peatada), regulaarne paigaldamise kord, varundus- ja taastamisproovide kalender (CISA soovitab kvartaalseid taasteteste) ning kirjalik intsidendiplaan koos sidepidamise stsenaariumidega. Eestis pakub raamistiku RIA hallatav Eesti infoturbestandard E-ITS, mis NIS2 jõustudes muutub üha enam kohustuslikuks ka erasektoris. Reeglistik peab vastama küsimusele, mida teeb töötaja kell 17.30 reedel, kui ekraanile ilmub lunarahanõue — ilma selleta läheb paanikasse ka tehniliselt kõige paremini ettevalmistatud organisatsioon.

Kokkuvõte

Lunavara ei õnnestu kunagi ühe asja pealt: see vajab haavatavat tehnoloogiat, eksiva inimese ja puuduva reegli üheaegset kohalolu. Kaitse loogika on sama — Mitnicki kolmik tuleb lukku panna kõigi kolme tahuga korraga, sest perearstikeskuse 2021. aasta varukoopia ei aita 2025. aastal patsienti.

Viited

• RIA, "Lunavara: uued ründed, vanad vead" (Küberturvalisuse aastaraamat 2026): https://www.ria.ee/lunavara-uued-runded-vanad-vead
• RIA, Küberturvalisuse aastaraamat 2025: https://www.ria.ee/sites/default/files/documents/2025-02/RIA-kuberturvalisuse-aastaraamat-2025.pdf
• RIA, "Lunavarakampaania ennetamine": https://www.ria.ee/kuberturbe-nouanded/nouanded-asutusele-ja-ettevottele/lunavarakampaania-ennetamine
• RIA, Ohuhinnang: RDP, 16. aprill 2025: https://www.ria.ee/sites/default/files/documents/2025-04/Ohuhinnang-RDP-aprill2025.pdf
• CISA, #StopRansomware Guide (2023): https://www.cisa.gov/stopransomware/ransomware-guide
• CISA / NSA / FBI / MS-ISAC, #StopRansomware Guide (PDF): https://media.defense.gov/2023/May/23/2003227891/-1/-1/0/CSI-StopRansomware-Guide.PDF
• CISA, Phishing Guidance: Stopping the Attack Cycle at Phase One: https://media.defense.gov/2023/Oct/18/2003322402/-1/-1/0/CSI-PHISHING-GUIDANCE.PDF
• Sophos, State of Ransomware 2025: https://www.sophos.com/en-us/content/state-of-ransomware
• GuidePoint Security, viidatud HIPAA Journalis, "Ransomware Attacks Increased by 58% in 2025": https://www.hipaajournal.com/ransomware-attacks-increased-58-percent-2025/
• No More Ransom (Europol & partnerid), "Lunavara": https://www.nomoreransom.org/et/ransomware-qa.html

---

Lahtiütlus: antud postitus on kirjutatud AI abil. Loe lähemalt siit: https://andpod.blogspot.com/2026/05/14-andmeturve-postituse-kirjutamisest.html