Kiristyshaittaohjelma voi iskeä minkä tahansa organisaation tietojärjestelmiin milloin tahansa – ajasta ja paikasta riippumatta.

Siitä huolimatta esimerkiksi monessa pk-yrityksessä kiristyshaittaohjelmia ei nähdä varteenotettavana uhkana. Usein taustalla on uskomus siitä, että omalla yrityksellä ei olisi sellaista omaisuutta tai dataa, joka kiristäjiä kiinnostaisi.

Käsitys on virheellinen.

Pienetkin yritykset ovat alttiita esimerkiksi niin kutsutuille opportunistisille hyökkäyksille, joiden kohteet valikoituvat täysin sattumanvaraisesti. Pk-yrityksille kiristyshaittaohjelmien hyökkäykset saattavat olla jopa erityisen vahingollisia, sillä pienen organisaation valmiudet käsitellä iskuista syntyviä taloudellisia tai muita seurauksia voivat olla suuria yrityksiä heikommat.

Jos kiristysohjelma iskee organisaation puutteellisesti suojattuihin tietojärjestelmiin, vahinkoa syntyy toisin sanoen varmasti – kyse on lähinnä siitä, kuinka laajasti. Siksi uhka täytyy tiedostaa ennalta ja oma ympäristö suojata asiaankuuluvalla tavalla.

Mutta: mitä kiristyshaittaohjelmat oikeastaan ovat ja miten niitä vastaan voisi suojautua?

TILAA INNOFACTOR INSIGHT -UUTISKIRJE

Mikä on kiristyshaittaohjelma?

Kiristyshaittaohjelma (ransomware) on verkon välityksellä leviävä haittaohjelma, joka kryptaa eli salaa tietokoneella olevia tiedostoja ja vaatii käyttäjältä lunnaita salauksen purkamisesta. Maksu vaaditaan yleensä suoritettavaksi virtuaalivaluuttana tai esimerkiksi rahansiirtopalvelun kautta, jolloin suorituksen vastaanottajan henkilöllisyys ei paljastu. Lunnaan maksaminen ei kuitenkaan takaa sitä, että kiristäjä todella toimittaisi salauksen purkamiseen tarvittavan avaimen.

Tietokoneelle – tai mille tahansa älylaitteelle – tunkeuduttuaan kiristysohjelma voi levitä muihin järjestelmiin ja jopa palvelimiin ja siten aiheuttaa vakavia ongelmia, kuten pysäyttää tehtaan tuotannon tai lamauttaa kaupan kassajärjestelmän. Esimerkiksi sairaalassa lukittuneet tietojärjestelmät voivat aiheuttaa hengenvaaran.

Kiristysohjelmien levittäminen on rikollisten organisoimaa liiketoimintaa, jossa liikkuvat isot rahat. Yhteiskunnan ja elinkeinoelämän digitalisoitumisen myötä myös rikolliset ovat luonnollisesti siirtyneet verkkoon, eikä tähän ole tulossa muutosta.

Kiristyshaittaohjelman kohteena on organisaatio, mutta hyökkäykset suunnataan yksittäisiä käyttäjiä vastaan

Kiristysohjelmat leviävät tyypillisesti sähköpostitse kalasteluviestien muodossa: Organisaation työntekijä saa aidolta vaikuttavan sähköpostin esihenkilöltään tai kollegaltaan ja erehtyy avaamaan viestissä olevan linkin tai liitetiedoston. Seuraavaksi käyttäjä huomaa, ettei enää saakaan avattua tiedostojaan tai pääse kirjautumaan laitteelleen.

Mediassa kiristyshaittaohjelmiin liittyvät hyökkäykset uutisoidaan tavallisesti kohteena olevan organisaation näkökulmasta. Hyökkäyksiä organisoivat rikolliset iskevät kuitenkin poikkeuksetta organisaation tietoturvan heikoimpaan lenkkiin, joka on valitettavasti tässä kontekstissa ihmiskäyttäjä. Kiristyshaittaohjelmia vastaan suojauduttaessa on sen tähden tärkeää muistaa, että kyse on tapahtumasarjasta, joka alkaa aina yksittäisestä työntekijästä.

Julkaisimme vuonna 2022 tiedotteen siitä, kuinka kiristyshaittaohjelmat ovat merkittävin uhka organisaatioiden tietoturvalle. Tiedotteen ydinviesti on yhä ajankohtainen.

5 esimerkkiä kiristyshaittaohjelmista viime vuosilta

Kiristysohjelmat voivat aiheuttaa monenlaista vahinkoa niin yksilöille, yrityksille kuin jopa valtioille. Haittaohjelmia levittävät rikolliset hyödyntävät iskuissaan mitä innovatiivisimpia strategioita, joita vastaan puolustautuminen voi olla hyvin haastavaa.

Seuraavaksi esittelemme viisi esimerkkiä kiristyshaittaohjelmien aiheuttamista vahingoista eri puolilta maailmaa.

Conti aiheutti kansallisen hätätilan Costa Ricassa

Venäläistaustainen ja Venäjän hyökkäyssotaa Ukrainassa avoimesti tukenut Conti-niminen rikollisryhmä pani Costa Rican hallinnon polvilleen kiristyshaittaohjelmallaan huhtikuussa 2022.

Conti-kiristyshaittaohjelma iski noin 30 instituutioon, mikä aiheutti vakavia häiriöitä rahoitustoimintaan koko Costa Ricassa sekä lamaannutti maan tuonti- ja vientiyritykset. Hyökkäysten seurauksena hallitus joutui sulkemaan muun muassa veronmaksun sekä tuonnin ja viennin valvontaan käytettävät tietojärjestelmänsä, mikä johti jopa 30 miljoonan Yhdysvaltain dollarin tappioihin päivässä. Lopulta Costa Rica joutui julistamaan maahan kansallisen hätätilan.

Yhdysvaltojen itärannikon polttoainejakelu keskeytyi Darkside-kiristyshaittaohjelman takia

Yhdysvaltojen merkittävimpiin polttoaineen jakelijoihin kuuluva Colonial Pipeline joutui keskeyttämään toimintansa toukokuussa 2021 Darkside-rikollisryhmän toteuttaman kiristyshaittaohjelmahyökkäyksen seurauksena. Isku vaikeutti elämää Yhdysvaltain itärannikolla merkittävästi, sillä Colonial Pipelinen linjaston läpi kulkee päivittäin lähes 380 miljoonaa litraa polttoainetta, mikä vastaa noin 45:ttä prosenttia itärannikon polttoainetarpeesta.

Darkside-ryhmän toimintaa pidetään oppikirjamaisena esimerkkinä kiristyshaittaohjelmia käyttävän rikollisuuden teollistumisesta.

Goodwill – hyväntekeväisyyttä kiristyshaittaohjelmalla?

Näennäisesti sosiaalisen oikeudenmukaisuuden puolesta liputtavan Goodwill-kiristyhaittaohjelman taustalla on Robin Hoodistakin tuttu ajatus: varasta rikkailta ja lahjoita köyhille.

CloudSEK-yhtiön tietoturvatiimi paljasti taannoin kiristyshaittaohjelman, jonka uhrit pakotetaan tekemään hyviä tekoja, kuten lahjoittamaan vaatteita kodittomille tai maksamaan terveydellistä hoitoa tarvitsevan vähävaraisen ihmisen sairaalalasku. Toimintamalli voi äkkiseltään kuulostaa hyväntahtoiselta, mutta kyse on rikollisesta toiminnasta. Lisäksi on syytä muistaa, että kiristyshaittaohjelma ei valikoi uhriaan – sen kohteeksi voi siis joutua myös haavoittuvassa asemassa oleva ihminen.

LockBit kohdistaa hyökkäyksensä maksukykyisiin organisaatioihin

Aggressiivinen ja nopeasti leviävä LockBit-kiristyshaittaohjelma havaittiin ensimmäisen kerran vuonna 2019. Lockbit on tunnettu suurista lunnasvaatimuksistaan, jotka kohdistuvat erityisesti sellaisiin maksukykyisiin organisaatioihin, joille toiminnan häiriöt aiheuttavat merkittävää taloudellista tai muuta vahinkoa. Näin ollen ne myös taipuvat rikollisten lunnasvaatimuksiin muita kohteita todennäköisemmin. BlackCat toimii niin kutsutulla RaaS-mallilla (Ransomware as a Service), jossa kiristyshaittaohjelmia myydään pimeässä verkossa rikolliseen käyttöön.

BlackCatin kohteina lentokenttä ja polttoaineyhtiöitä

Loppuvuodesta 2021 havaittu BlackCat-niminen kiristyshaittaohjelma on iskenyt ainakin 60 kohteeseen ympäri maailmaa. Uhrien joukossa on muun muassa sveitsiläisen lentokentän hallintopalvelu sekä kaksi saksalaista polttoainejakeluyhtiötä. BlackCatin taustalla saattaa olla sama ryhmittymä kuin Darksidessa.

Rust-ohjelmistokielellä koodattu BlackCat on niin kutsuttu cross platform -ohjelma, joka on suunniteltu toimimaan useilla eri käyttöjärjestelmillä tai laitealustoilla. RaaS-mallilla toimiva ohjelma on saastuttanut esimerkiksi päivittämättömiä Microsoft Exchange -sähköpostipalvelimia.

Miten organisaatio voi suojautua kiristysohjelman hyökkäykseltä?

Suojautuminen kiristyshaittaohjelmia vastaan tapahtuu kahdella tasolla:

• Hallinnollinen suojautuminen tarkoittaa, että organisaatioon luodaan tietoturvamyönteinen toimintakulttuuri, joka ehkäisee kiristysohjelmia tunkeutumasta tietojärjestelmiin.
• Tekninen suojautuminen tarkoittaa tietoturvaratkaisuja, jotka tunnistavat, havaitsevat ja estävät hyökkäyksiä sekä toisaalta taistelevat kiristysohjelmia vastaan, jos hallinnollinen suojautuminen pettää.

Keskeisenä osana hallinnolliseen suojautumiseen kuuluu, että järjestelmien loppukäyttäjien ymmärrys oikeaoppisista toimintatavoista on kunnossa. Tähän kuuluvat paitsi yleiset ohjeet olla avaamatta epäilyttäviä linkkejä tai liitetiedostoja, myös ajantasainen tieto esimerkiksi tuoreimmista kalastelusähköposteista sekä muista ajankohtaisista tietoturvaan liittyvistä ilmiöistä.

Tietohallinnon järjestämät säännönmukaiset koulutukset ovat yksi tapa ylläpitää tietotasoa, mutta moderni teknologia mahdollistaa myös koulutusten pelillistämisen: tietoturvaohjelmisto voi esimerkiksi lähettää vaarattomia kalastelusähköposteja henkilöstölle ja kerätä dataa siitä, kuinka käyttäjät viesteihin reagoivat. Ohjelman keräämää dataa voi hyödyntää tulevien koulutusten suunnittelussa.

Tietoturvamyönteinen toimintakulttuuri edellyttää, että organisaation johto on sitoutunut ylläpitämään kulttuuria. Sitoutunut johto ymmärtää tietoturvan ylläpitoon tarvittavat suorat ja epäsuorat kustannukset, jolloin tietoturvapäälliköt eivät joudu tarpeettomasti kamppailemaan budjetti- tai muiden rajoitusten kanssa.

Tekninen suojautuminen kiristyshaittaohjelmilta on nimittäin se osa tietoturvaa, johon tarvitaan työntekijöiden ajankäytön lisäksi myös osuus budjetista. Moderni päätelaitesuojaus on tärkeimpiä osia teknistä suojautumista ja ikään kuin vakuutus inhimillisten erehdysten varalta: jos haittaohjelma pääsee asentumaan käyttäjän päätelaitteelle, päätelaitesuojaus ja muut tekniset ratkaisut pyrkivät viimeistään pysäyttämään hyökkäyksen ja estämään vahinkojen leviämisen laajemmalle.

---

Onko organisaatiosi Microsoft 365 -ympäristön tietoturva ajan tasalla? Kyberturvallisuusarviointi on Innofactorin tarjoama palvelu, jossa Microsoft-sertifioituneet konsulttimme arvioivat organisaatiosi M365-ympäristön tietoturvan ja auttavat suojaamaan sen tehokkaasti.

(P.S. Innofactorin hiljattain järjestämää webinaaria varten tutkin IT-yhtiöiden tietoturvaraportteja selvittääkseni, kuinka nopeasti kyberrikolliset keskimäärin onnistuvat vaarantamaan kohteensa verkkoympäristön ja kuinka organisaatiot voivat suojautua hyökkäysten varalta. Kuuntele webinaaritallenne verkkosivuiltamme!)

TUTUSTU KYBERTURVALLISUUSARVIOINTIIN