5 suuremat lunavarajuhtumit 2025. aastal

Avaldatud: september 4, 2025

Lunavara kui suurim küberoht 2025. aastal

Aastal 2025 on lunavararünded jätkanud laastamistööd eri sektorites üle maailma, tabades nii riigiasutusi, kriitilise infrastruktuuri organisatsioone kui ka eraettevõtteid. Alljärgnevalt vaatleme viit kõige olulisemat kinnitatud lunavararünnet 2025. aastal, kirjeldame iga ohvri tausta ja valdkonda, ründajate infot, nõutud lunaraha suurust, ründe mõju ulatust ning tõenäolist motiivi.

Slovakkia maa- ja katastriregistri haldussüsteemi rünne

Ohver: Slovakkia Geodeesia-, Kartograafia- ja Katastriamet (ÚGKK) – riigiasutus, mis haldab maaomandi ja kinnisvara registrit.
Ründajad: Tuvastati, et lunavara oli pärit võõrriigist. Kohalik meedia seostas rünnet võimaliku häkkerirühmitusega nimega Kapor, kuid ametivõimud ründajaid avalikustanud ei ole. Samuti viitasid ametnikud märkidele, et rünne võis pärit olla Ukrainast, mis tekitas poliitilist pinget (Slovakkia oli äsja kritiseerinud Ukraina samme gaasitransiidis). Selged tõendid ründajate päritolu kohta siiski puuduvad.
Lunaraha nõue: Häkkerid nõudsid umbes 12 miljonit USA dollarit lunaraha. See on üks suuremaid avalikustatud nõudeid sel aastal. Slovakkia valitsus keeldus lunaraha maksmast.
Mõju: Rünne halvas kogu katastrisüsteemi töö, muutes e-teenused kättesaamatuks ja sundides sulgema ka ametkonna füüsilised kontorid. Kinnisvaratehingud ja maaregistritoimingud seiskusid üle riigi. Näiteks peatati ajutiselt kinnisvara ostu-müügi tehingud, laenuprotsessid ja lisanduvalt ka sellised teenused nagu näiteks Bratislava elanikele parkimiskaartide väljastamine. Eksperdid hoiatasid, et registri täisfunktsionaalsuse taastamine varundustest võib võtta kuid. See rünne tõi esile riigi kriitilise taristu haavatavuse.
Tõenäoline motiiv: Peamine motiiv oli rahaline väljapressimine. Nõutud lunaraha summa kinnitab, et kurjategijad sihtisid registrit lootuses suurt rahalist kasu saada. Samas tekitas rünne ka geopoliitilisi kuulujutte; arvestades ajastust ja süüdistusi Ukraina suunal, ei saa välistada ka poliitilise surve motiivi kahtlust. Siiski on väga tõenäoline, et ründajad olid finantskurjategijad, kes tabasid kriitilist riigiteenust lootuses, et valitsus maksab andmete taastamise eest.

Lunavara halvab Kuala Lumpuri rahvusvahelise lennujaama

Ohver: Malaysia Airports Holdings Berhad – Malaisia suurim lennujaamahaldur, sh Kuala Lumpuri rahvusvaheline lennujaam (KLIA), mis on üks Aasia suurimaid transpordisõlmpunkte.
Ründajad: Ründe taga oli Qilin-nimeline lunavararühmitus. Qilin (tuntud ka kui Agenda) on Venemaaga seotud küberkurjategijate jõuk, kes alustas tegevust 2022. aastal ning on spetsialiseerunud õngitsusmeilide kaudu suure profiiliga ohvrite nakatamisele. KLIA ründe puhul võttis Qilin juhtunu eest avalikult vastutuse.
Lunaraha nõue: Lunavararühmitus esitas lennujaamale umbes 10 miljoni dollari suuruse lunarahanõude. Ründajad väitsid, et neil õnnestus varastada kuni 2 terabaidi jagu andmeid lennujaama sisevõrgust (sh tundlikku äriinfot). Lennujaama haldusfirma kinnitas rünnet ja kriisiolukorda, kuid keeldus lunaraha maksmisest.
Mõju: Rünne põhjustas ulatusliku operatsioonihäire Malaisia suurimas lennujaamas. Alates 23. märtsist 2025 olid rivist väljas lennuinfo ekraanid, registreerimisletid ja pagasikäitlussüsteemid, mis sundis lennujaamatöötajaid kasutama käsitsi lahendusi. Näiteks kuvati väljuvate lendude infot ajutiselt tahvlitele kirjutatuna. Kuigi lennuliiklust ennast ei peatatud, põhjustas IT-süsteemide rivist väljas olek reisijatele ja personalile märkimisväärseid viivitusi ning ebamugavusi. Häire kestis mitu päeva, kuni süsteemid suudeti varunduste abil taastada. Õnneks ei andnud lennujaam märke reisijate isikuandmete lekitamisest ning kriitilised turvasüsteemid jäid väidetavalt puutumata.
Tõenäoline motiiv: Motiiviks oli rahaline väljapressimine. Qilin on finantskasu eesmärgil tegutsev lunavararühmitus. Lennujaam valiti sihtmärgiks ilmselt seetõttu, et seal tekitatud operatsiooniseisak võib firmale väga kulukaks osutuda, mis survestab ohvrit lunaraha tasuma. Antud juhul lennujaam lunarahanõuet ei tasunud, kuid rünne andis rühmitusele rahvusvahelise tähelepanu.

Kettering Health: lunavararünne haiglate võrgustikule

Ohver: Kettering Health – suur haiglavõrgustik Ameerika Ühendriikides Ohio osariigis. Võrgustikku kuulub 14 haiglat ning mitmeid kliinikuid, pakkudes tervishoiuteenuseid sadadele tuhandetele patsientidele aastas.
Ründajad: Ründe eest võttis vastutuse Interlock-nimeline lunavaragrupp. Interlock on 2024. aastal esile kerkinud küberkurjategijate rühmitus, kellest ei ole teada palju. Nad on ilmselt mõne varasema tuntud grupi uus kehastus või täiesti uus jõuk. Ketteringi juhtumi puhul teavitasid ründajad haiglat oma nõudmistest ning vihjasid, et haiglalt on kätte saadud hulk tundlikke andmeid. Konkreetset lunarahanõude summat avalikkusele ei ole edastatud.
Lunaraha nõue: Täpne nõutud lunaraha suurus on teadmata, kuid arvestades ründe ulatust võib see olla miljoneid dollareid. Kettering Health kinnitas, et nad ei ole lunarahanõuet tasunud. USA haiglates on 2020. aastate keskpaigas tavaks hoida läbirääkimiste info ja nõude suurused konfidentsiaalsed, et vältida edasiseid ründeid.
Mõju: Ründel oli otsene mõju patsientide raviteenustele. Lunavara pääses haigla sisevõrku ning halvas Ketteringi 14 haigla IT-süsteemid, sh elektroonilised terviseloo arhiveerimise süsteemid, sisevõrkude telefoniliinid ja kliinilise info liikumise kanalid. Selle tulemusena tuli haiglatel tühistada hulgaliselt plaanilisi protseduure ning suunata kiirabiga saabuvad patsiendid teistesse raviasutustesse, kuna digitaalsed süsteemid polnud kättesaadavad. Samuti teatas Kettering, et ründajad varastasid võrgustiku andmebaasidest tundlikke andmeid, muu hulgas finantsandmeid ja tõenäoliselt ka patsientide isikuandmeid. Haigla kulutas ründejärgselt märkimisväärselt ressurssi süsteemide puhastamisele ja taastamisele, samuti patsientide teavitamisele ja võimalike lekete uurimisele.
Tõenäoline motiiv: Ründe motiiviks oli rahaline väljapressimine. Tervishoiusektor on lunavara jaoks kahjuks atraktiivne sihtmärk, sest haiglate operatsioonide seiskumine seab ohtu inimelud, mis paneb rünnete ohvrid tugeva surve alla, et lunaraha tasuda. Samuti võis rühmitus püüda varastatud meditsiinilise teabega hiljem raha teenida (näiteks müües seda mustal turul)

Hello Kitty teemapargi andmeleke Jaapanis

Ohver: Sanrio Entertainment Co. – Jaapani meelelahutusettevõte, mis haldab populaarseid Hello Kitty temaatilisi lõbustusparke Sanrio Puroland (Tokyos) ja Harmonyland (Ōita prefektuuris). Need atraktsioonid meelitavad ligi igaaastaselt miljoneid külastajaid ning on osa globaalselt tuntud Sanrio kaubamärgi (Hello Kitty looja) impeeriumist.
Ründajad: 21.–22. jaanuaril 2025 toimus Sanrio Entertainment’i võrkudes ulatuslik sissetung. Kuigi uurimine käib, viitavad asjaolud tugevalt lunavararündele. Küberkurjategijad said süsteemidesse loata ligipääsu ning põhjustasid teenuste katkemise viisil, mis on iseloomulik lunaraha väljapressimisele. Konkreetset ründajate rühmitust ei ole avalikult tuvastatud, samuti pole ükski teadaolev lunavaragrupp juhtumit enda nimele võtnud, mis võib viidata sellele, et ohver asus läbirääkimisi läbi viima või lahendas olukorra enne andmete avalikku lekkimist.
Lunaraha nõue: Ettevõte ei ole avalikustanud, kui suur oli lunarahanõue. Tõenäoliselt hoitakse see teave ärilistel põhjustel saladuses. Arvestades ründe laadi (varastati andmeid ja segati pargi tööd), oli suure tõenäosusega lunarahanõue väga suur. Kuna ükski grupp ei ole infot oma lehel avaldanud, võib see tähendada, et ohver maksis või püüdis maksta.
Mõju: Rünne halvas ajutiselt Sanrio kahe lõbustuspargi tavapärase tegevuse. Vahemikus 21.–22. jaanuar tekitas sissetung võrgukatkestusi, mistõttu ei saanud Puroland ja Harmonyland teatud perioodil välja anda eelmüügist ostetud piletikoode ega müüa uusi aastapääsmeid. Purolandi veebilehel teatati külastajatele võrgu rikkest ning  probleemidest broneeringusüsteemiga. Piiratud funktsionaalsusega ajutine piletimüük kestis kuu lõpuni, kuni süsteemid suudeti taastada. Lisaks teenuste seiskumisele selgus, et ründajad pääsesid ligi ka ettevõtte andmetele: hinnanguliselt kuni 2 miljoni kliendi, töötaja ja koostööpartneri andmed lekkisid – sh nimed, postiaadressid ning töötajate Jaapani isikukoodid (My Number). Sanrio pidi tegema avalduse, milles vabandas klientide ees.
Tõenäoline motiiv: Tõenäoline motiiv oli rahaline väljapressimine. Ründajad sihtisid teadlikult teenindussektori ettevõtet perioodil, mil see sõltus toimivatest e-teenustest (piletite ja broneeringute haldus), mis sunniks ettevõtet lunaraha maksma, et vältida edasist rahakadu. Meelelahutussektori ettevõtted hoiavad tihti madalat profiili maksmise osas, kuna avalik maine on neile kriitiline.

Keenia pensionifondi NSSF väljapressimine

Ohver: Kenya National Social Security Fund (NSSF) – Keenia riiklik pensioni- ja sotsiaalkindlustusfond. NSSF haldab miljonite Kenya töötajate ja tööandjate pensionimakseid ning isikuandmeid, olles seega kriitiline finantssüsteemi osa riigis.
Ründajad: 2025. aasta mais tabas NSSF-id lunavararünne, mille eest võttis vastutuse hiljuti tegevust alustanud häkkerirühmitus nimega Devman. Devman postitas oma andmelekkesaidile väiteid, et on fondi süsteemid täielikult üle võtnud. Ründajad teatasid, et neil on otsene kontakt Keenia võimudega ning et nad on esitanud konkreetsed nõudmised.
Lunaraha nõue: Devmani häkkerid nõudsid Keenia valitsuselt lunarahana 579 miljonit Keenia šillingit, mis on ligikaudu 4,5 miljonit USA dollarit. Ründajad väitsid, et neil õnnestus varastada umbes 2,5 terabaiti jagu tundlikku teavet NSSF-i süsteemidest. Häkkerid ähvardasid, et kui valitsus ei täida nende nõudmist 24 tunni jooksul, avaldavad nad kompromiteeritud andmed avalikkusele. NSSF ega valitsus lunaraha maksmist ei kinnitanud, vaid pigem eitasid suure andmelekkega ründe toimumist.
Mõju: Häkkeriterühmituse väited andmelekkest tekitasid Keenia avalikkuses suurt muret, kuna NSSF haldab praktiliselt kõigi riigi töötajate isikuandmeid, tööstaaži ja makseajalugu. Paljud kartsid, et nende isiklikud ja finantsandmed (sh isikukoodid, pensioniõigused, väljamaksed) võivad sattuda mustale turule. NSSF juhtkond reageeris kiiresti pressiteatega, milles kummutati väited andmebaasi häkkimisest. Väideti, et tuvastati küll ebaseaduslik sissetungi katse ühte pildiserverisse, kuid fondi põhisüsteemid (sh liikmete isiku- ja finantsandmed) jäid puutumata. Uurimine olevat näidanud, et liikmete andmeid ei varastatud. Vaatlejate sõnul võib selline eitamine olla osaliselt suunatud paanika vältimisele. Siiski tuli NSSF-il rakendada täiendavaid turvameetmeid ja algatada siseaudit, et leida võimalikke nõrkuseid.
Tõenäoline motiiv: Motiiviks on taaskord rahaline väljapressimine. Sotsiaalkindlustusandmed on lisaks küberkurjategijatele ihaldatud ka identiteedivarguste alal, mistõttu võis varastatud info omada mustal turul märkimisväärset väärtust ka siis, kui lunaraha ei maksta.