Märtsis registreeriti 198 küberintsidenti, ründe alla langesid nii ERR kui mitu kooli

Politsei- ja piirivalveameti (PPA) biomeetriateenuse töös oli 4. märtsil kella 10.37 kuni 17.40 ligi seitsmetunnine paus, mille jooksul ei toiminud PPA teenindustes sõrmejälgede ega fotode hõive, samuti oli probleeme piirikontrolliga. Intsidendi põhjustas probleem tarkvara sertifikaatidega.

16. märtsil esines häireid PPA isikutuvastus- ja menetlus-infosüsteemis UUSIS, mis põhjustas probleeme piirikontrolli infosüsteemis, relvaregistris ja isikut tõendavate dokumentide väljastamisel. Intsidendi põhjustas tarkvara viga. Nii riigikohtu, õiguskantsleri kui ka majandus-ja kommunikatsiooniministeeriumi veebilehed olid korduvalt kättesaamatud süsteemitõrgete tõttu. Samuti esines katkestusi tervise infosüsteemi töös.

Jätkusid teenustõkestusrünnakud (DDoS) nii õppeinfosüsteemi Tahvel, koolide kui ka ERRi pihta. Õppeinfosüsteemi Tahvel vastu korraldati DDoSi rünne märtsis kuuel korral. 14. märtsil ajavahemikul kella 8.25 kuni 11.45 toimus neli DDoSi rünnet ühe Raplamaal asuva kooli vastu. Neil rünnetel mõju ei olnud ja tavapärane töö jätkus. Eesti Rahvusringhäälingut (ERR) rünnati 21. märtsil ajavahemikul kella 18.34 kuni 18.36, häiritud oli veebilehtede töö ja otsestriiming. Teenuste töö taastus kell 19.

Paaril korral tuvastas amet monitooringu abil võrguliikluse, mis on omane pahavaraga nakatunud seadmega krüptoraha kaevamisele. Tõenäoliselt olid ühe kohaliku omavalitsuse haldusalas olevad masinad pahavaraga nakatunud ning seadistatud krüptoraha kaevandama kolmanda osapoole jaoks. Selline tegevus kasutab palju ressursse ning selle mõjul on seade tavapärasest aeglasem ning ventilaatorid töötavad kiiremini.

Märtsis levisid Tallinna Ülikooli ja Estonian Business Schooli nimel saadetud pahavaraga e-kirjad. Kirjadele oli lisatud manusena pahavaraga nakatunud Exceli või ZIP-fail, selle avamisel ja makrode käivitamisel oli kurjategijatel võimalik saada ligipääs kasutaja seadmele. Kirjade pealkirjaks oli näiteks «Hinnapäring 10.03.2022 (Tallinna Ülikool)» ja neis kutsuti esitama hinnapakkumisi kooli eelarvele. Riigivõrgus prooviti sarnaseid e-kirju saata rohkem kui 40 000 korral, aga paljud neist blokeeriti juba enne kasutajateni jõudmist.

Taoliste e-kirjade puhul on oluline manust mitte avada, kiri edastada asutuse või ettevõtte IT-toele ning seejärel kustutada. Nii toimides e-kiri ega selles sisalduv pahavara arvutis ohtu ei kujuta.

Lisaks tabas ühte Eesti ettevõtet lunavararünnak, mille käigus krüpteeriti raamatupidamistarkvara andmebaas ja tagavarakoopiad, mis asusid samas serveris. Server oli avalikult kättesaadav RDP (Remote Desktop Protocol) lahenduse kaudu. Tihti on kaugtöölauatarkvara ebaturvaliselt seadistatud, mis tähendab et RDP jaoks lahti jäetud võrguühenduste kaudu saab arvutile või serverile ligi välisvõrgust. Amet nägi märtsi jooksul veel kahte taolist rünnakut.