Marge Väikenurm • 2 september 2015

Häkkerid nõudsid Tartu firmalt lunaraha

Raamatupidaja Lea Sinimäe näitab lunarahanõuet, mille häkkerid saatsid, olles andmed kaaperdanud.   Foto: Andras Kralla

Häkkerid krüpteerisid Tartu raamatupidamisfirma Ma-Ra kõik andmed nii, et ettevõte ei pääsenud enam klientide infole ligi. Andmete kättesaamiseks pidi ettevõte välja käima üle 800 euro.

“Kahju, kui teistel selliseid asju juhtub. Ma ei uskunud, et mind selline asi kunagi puudutada võib,” ütles firma Ma-Ra omanik Lea Sinimäe.

Nimelt ei saanud Ma-Ra Valga kontori töötaja 18. augustil kätte infot raamatupidamisprogrammidest ja andis sellest teada firma omanikule Lea Sinimäele. “Programm oli tühi – polnud ühegi firma kohta infot,” ütles Sinimäe, kes helistas seejärel tarkvarafrmasse Merit, mille raamatupidamisprogramme ettevõte kasutab.

Merit Tarkvara IT-spetsialist Kaivo Laumets taipas kohe, et midagi on valesti. Pahavara krüpteeris kõik failid, mida arvutit kasutanud raamatupidaja avada üritas, peale raamatupidamisprogrammide tegi sama tekstifailide ja fotodega.

“Jälgis kasutaja tegevusi,” selgitas Laumets, kes ei oska öelda, kuidas täpsemalt pahavara arvuti nakatas. Samas pani Laumets tähele, et kaks viirustõrjeprogrammi olid aegunud. “Mõlemad kontrollisid midagi, aga troojasid kinni ei võtnud.”

Raamatupidamisfirma omaniku Lea Sinimäe sõnul on tal nüüd plaan kontrollida üle kogu süsteem ja tugevdada viirustõrjet küberrünnaku vastu.

Teada kümmekond juhtumit Klaid Mägi, RIA intsidentide käsitlemise osakonna juhataja

Sel aastal on meieni jõudnud info vähem kui kümne krüpteerimisjuhtumi kohta. Kuuldavasti on neid olnud oluliselt rohkem, kuid kõik asutused ei anna oma juhtumitest teada.

Selliseid olukordi on keeruline vältida. Küberkurjategijad otsivad kogu aeg operatsioonisüsteemides ja veebilehitsejates turvanõrkusi, mida pahavara levitamiseks ära kasutada. Firma töötaja võib tavapärase töö käigus sattuda sellisele veebilehele, millel on krüpteeriv lunavara. Samuti üritatakse inimesi petta võltsmeilidega, kus lingile klõpsamine või lunavaraga manuse avamine nakatab arvuti krüpteeriva pahavaraga. Tuleks olla hoolas ja kahtlustav linkide ja manuste avamisel, teha regulaarselt olulistest failidest varukoopiaid ning vaadata üle kasutajate õigused asutuste failiserverites.

On olnud juhtumeid, kus lunavaraga nakatus ühe kasutaja arvuti, kuid krüpteeriti suur hulk asutuse failidest, sest kasutajal oli õiguseid rohkem, kui oli tegelikult vaja. Kui varukoopiad on tehtud, siis õnnestub krüpteeritud failid taastada ning kuluks on vaid IT-inimeste töötunnid.

Nõudsid lunaraha

Iga firmat, mille arvutitesse tungitakse ja kust andmed kaaperdatakse, varitseb tõsine oht. “Firma võib kõigist andmetest ilma jääda,” ütles Laumets. “Kui nad on ühte firma masinasse sisse saanud, siis kindlasti üritavad ka teistesse pääseda.”

Laumets puhastas arvutit ja taastas raamatupidamisprogrammide faile umbes kaheksa tundi. Muu seas märkas ta arvutisse paigaldatud virtuaalmasinat, millega võib-olla spämm teele läks. Kuna raamatupidamisfirma tahtis kiiresti tööle asuda, sest käibemaksudeklaratsiooni esitamise tähtaeg oli ukse ees, ei hakanud Laumets masina kohta uurima.

Peale selle leidis ta kirja, kus häkkerid nõudsid krüptorahas nelja bitcoini ehk veidi üle 800 euro, mille laekumise järel olid nõus failide lahtikrüpteerimise koodi saatma. “Kui hakkasin taastama koopiaid, siis avastasin, et neil on prefiksid ees, samuti oli olemas tekstifail, et oleme enamuse teie dokumentidest krüpteerinud. Kui tahate neid, makske,” rääkis Laumets, kes soovitab häkkeritele raha mitte anda.

“Kui häkkerid oleksid nii ausad vennad, et kui murravad arvutisse, maksad neile raha ja saadavad lahtikrüpteerimiseks koodi, siis okei, aga nad lähevad ahneks. Ullikestelt loodetakse kätte saada nii suur summa kui võimalik. Inimestel on lihtne lootus, et antakse kood, aga paraku seda ei tehta,” rääkis Laumets.

Sinimäe tegi politseile avalduse, aga Laumetsa hinnangul ei õnnestu häkkerile jälile jõuda. “Oleksime pidanud enne, kui tarkvara maha võtsime, tegema koopia kõvakettast, et politsei saaks tõendusmaterjali. Nüüd on vähe tolku, sest olen tegelikult kogu jama maha korjanud,” ütles Laumets. “Kui kliendid helistavad, siis üritad esmalt tarkvaraasjad käima saada.”

Kõigile muredele ei ole Ma-Ra veel lahendust leidnud. “Wordi dokumendid ja muu on siiani krüpteeritud, aga Meriti asjad saime käima, sest rendime Amazoni serveris pinda koopiate jaoks. Kui firma poleks luba kopeerimiseks varem andnud, pidanuks nüüd kogu raamatupidamise algusest peale tegema,” nentis Laumets. “On ka kliente, kes teevad ise varukoopiaid. Tehke koopiaid, ja mitte vaid ühele meediale. Jube palju inimesi töötab mälupulga peal, näiteks käivitab sellelt programme, mis on täiesti vastutustundetu. Mälupulgal on teatud kirjutamiste-lugemiste arv, pärast mida ei ole see enam kasutatav."

IT-spetsialisti soovitused

1. Kontrolli, kas on olemas viirustõrjeprogrammi viimane versioon. Kui ei ole, tee versiooniuuendused.

2. Kui arvuti töötab tavalisest teisiti, katkesta internetiühendus. “Üks klient helistas, et keegi toimetab tema arvutis. Esimene asi: tõmba netikaabel välja ja too arvuti mulle. Teen puhtaks. Oli installeeritud kaughaldustarkvara, millega üritati ligipääsu saada,” rääkis IT-spetsialist Kaivo Laumets.

3. Kui arvuti hakkab tunduvalt aeglasemaks jääma, on see märk, et midagi on valesti. “Inimesed ei oska tähele panna, et on probleemid,” nentis Laumets. “Kui masin imelikult käitub, pöörduge kohe IT-inimese poole.”

4. Tuleb selgeks mõelda, kuidas tagada andmete turvalisus nii töö- kui ka koduarvutis. Näiteks on mõistlik teha failidest koopiaid mitmele meediale. “Mina teen iga kolme-nelja kuu tagant koopiad välisele kõvakettale,” sõnas Laumets.

Arvutimure ja katkine rehv

Kui arvuti näiteks väga aeglaseks muutub, siis tuleks IT-spetsialistiga suhelda, vajadusel internetiühendus katkestada. “Kui autol rehv katki läheb, siis me ei sõida sada kilomeetrit edasi. Auto jäetakse seisma,” tõmbas Laumets paralleeli auto- ja arvutimurede vahele.

“Leale läks see asi suhteliselt palju maksma, sest iga koopia võtmine maksab teatud summa, kuna ostame serveriteenust ja maksame iga kuu selle eest,” tõdes Laumets.

Sinimäe avaldas, et koopiate allalaadimine polnud väikesele raamatupidamisfirmale tõesti odav lõbu: tasuda tuleb Merit Tarkvarale üle 800 euro.

Sinimäe esitas politseisse avalduse, kuid peab väheusutavaks, et häkkereid tabada õnnestub. “Politsei ütles, et seda pidi viimasel ajal päris palju olema. Kas just sarnaseid juhuseid, aga küberkurjategijaid, kes arvutitesse tungivad. Oli keegi, kes maksis 1000 dollarit. Taheti veel ja veel juurde. Minul nagunii polnud plaanis seda raha maksta,” rääkis Sinimäe.

Politsei pressiesindaja Uku Tampere sõnul teab politsei vähemalt üht juhtumit, kus kannatanult on küsitud raha failide avamiseks. „Tol korral läks õnneks ja failid ka avati pärast raha saamist, kuid üldiselt ei tohiks kurjategijatele raha maksta,“ ütles Tampere. „Lisaks sellele, et see toetab otseselt kurjategijaid ja kuritegevust, ei ole kuidagi tagatud, et failid päriselt uuesti avatakse.“

Küberkurjategijate skeemid on väga erinevad. Juunis kirjutas Äripäev näiteks, kuidas Tartu jalatsitootja Samelini omanikult Leida Kikkalt ja tema Norra äripartnerilt üritas meilipostkastidesse tunginud küberpettur 73 000 eurot välja meelitada. Mõlemad ettevõtjad pöördusid politseisse. Menetlus veel kestab.

Hetkel kuum