3 tärkeää opetusta: kiristysohjelma iskee betonitehtaaseen

Kyberhyökkäykset käytännössä: Osa 3

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 29, 2016
Lukuaika: 3 Minuuttia

Eräänä päivänä heräät, viet lapset kouluun tai päiväkotiin, ja suuntaat toimistolle käynnistääksesi työkoneesi – ja huomat näytön kertovan pahaenteisesti, että tietokoneesi on kryptattu ja lukittu. Kaikki tietokoneen tiedot tuhoutuvat peruuttamattomasti, jos et maksa tuntemattomalle taholle lunnaita bitcoin-valuutalla.

Eikä tässä vielä kaikki. Pikainen tarkistus paljastaa, että lähes kaikki yrityksen tietokoneet ovat saaneet saman tartunnan.

Juuri näin kiristysohjelma aloitti erään yhdysvaltalaisen betonifirman aamun.

 Oli siis harvinaisen huono aamu…

Tämä on tyypillinen kiristysohjelmatapaus. Yrityksen työntekijä joutui sosiaalisen manipuloinnin uhriksi, kun hän klikkasi petollisen sähköpostin liitettä. Liite ujutti uhrin tietokoneeseen Cryptowall-kiristysohjelman. Kiristysohjelma levisi huomaamatta yrityksen verkkoon ja alkoi kryptaamaan eli salaamaan kirjanpidon tietoja ja useiden kriittisten tuotantosovellusten tiedostoja. Hyökkäys havaittiin, kun työntekijä ei seuraavana aamuna päässyt tuotannon käynnistämisessä tarvittaviin tiedostoihin.

Tuotannon oltua pysähdyksissä kaksi päivää yritys päätti maksaa lunnaat salauksen purkamiseksi. Yritys palkkasi ulkopuolisen konsultin puhdistamaan verkon. Vaikka lunnaat maksettiin, kaikkia kirjanpidon tietoja ei valitettavasti pystytty koskaan palauttamaan. Salausta ei näet onnistuttu täysin poistamaan eikä yrityksellä ollut ajantasaisia varmuuskopioita.

Hyökkäys vahingoitti vakavasti yrityksen taloutta. Verkon puhdistus ja tuotannon seisokki kestivät viikon ja kirjanpitotietojen palautus vei pitkään. Yritys joutui maksamaan sopimussakkoja, koska sovittuja toimitusaikoja ei pystytty pitämään. Sakkojen kokonaismäärää yritys ei ole paljastanut.

Tervetuloa kiristysohjelmien maailmaan

Cryptowall on vain yksi lukemattomista kiristysohjelmista, jotka ovat nopeimmin kasvava kyberrikollisuuden laji. Uhriksi voivat joutua aivan tavalliset ihmiset, kotitoimistot, pienyritykset, jopa suuryritykset, julkishallinto ja viranomaiset, kuten jotkut poliisilaitokset Yhdysvalloissa.

Tämä johtuu siitä, että nämä hyökkäykset ovat luonteeltaan opportunistisia – ne yksinkertaisesti saastuttavat kaiken minkä voivat. Surullista kyllä, pienyritysten ja tavallisten ihmisten riskit ovat suuremmat, koska heillä on harvoin kattavia varmuusopioita ja palautusmenettelyjä.

Kiristysohjelma on haittaohjelma, joka kaappaa hallintaansa uhrin tietokoneen, tiedot, järjestelmän tai jopa mobiililaitteen. Ohjelma vaatii maksun siitä, että käyttäjä voi palauttaa normaalin pääsyn kiristyksen kohteena olevaan sisältöön tai järjestelmään.

Valitettavasti lunnaita maksetaan. Yhdysvalloissa on raportoitu useista tällaisista tapauksista: Massachusettsin ja Mainen poliisilaitokset ja Caring Senior Service -yritys. Lunnaiden maksaminen rohkaisee rikollisia jatkamaan hyökkäyksiään. On silti vaikea osoittaa sormella yritystä, jonka liiketoiminta rampautuisi, kuten betonitehtaan tapauksessa tai joka on vaarassa menettää vuosikausien datan.

Tavallaan kyse on liiketoimintaan kuuluvasta päätöksestä. Maksa 500 dollaria tai häviä rahaa, kun liiketoiminta keskeytyy ja vahingoittuu. Ei kuitenkaan ole mitään takuita siitä, että tiedostot saa takaisin, vaikka maksaa.  Onnistuminen riippuu täysin rikollisten luotettavuudesta.

Paljonko olemme valmiit lyömään vetoa rikollisten luotettavuudesta puolesta? Vaikka maksaa, ei silti välttämättä saa omaisuuttaan takaisin, koska rikollinen ei välitä tai koska haittaohjelmassa on virheitä.

Sijoita siis mieluummin 500 taalaa kunnollisiin varmuuskopio- ja palautusratkaisuihin.

Mitä voimme oppia hyökkäyksestä

  1. Laita perusasiat kuntoon. Tavassa, jolla kiristysohjelma saastuttaa tietokoneesi ei ole mitään uutta. Moderni turvaratkaisu, johon sisältyy vahva sähköpostin ja verkon suojaus, auttaa pitkälle.
  2. Hanki kunnollinen varakopio- ja palautusratkaisu. Yritykset, joilla on tukeva palautussuunitelma  ja nykyaikainen varmuuskopiontijärjestelmä, jota säännöllisest testataan, selviävät usein vaurioitta kiristysohjelmien hyökkäyksistä.  Yritys yksinkertaisesti puhdistaa saastuneet laitteet ja palauttaa varmuuskopiot.
  3. Tee yrityksen verkosta turvallinen.  Betonitehtaan verkon tietoturva ei ollut kunnossa. Voimme päätellä tämän siitä, miten Cryptowall-haittaohjelma levisi verkossa. Yksi tärkeimmistä vaatimuksista yritysverkon turvallisuudelle on rajoittaa sivuttaista liikettä verkon sisällä. Näin yhden koneen saastuminen ei pysäytä kaikkea toimintaa.

Kyberhyökkäykset toiminnassa

Tämä kirjoitus on kolmas sarjassa, jossa kerromme yrityksiin tosielämässä kohdistuvista kyberhyökkäyksistä. Muut osat on julkaistu englanninkielisinä: osa 1,  osa 2 ja osa 4. Inspiraation lähde on englanninkielinen ekirja Cyber Security demystified: Securing Business Operations. Voit ladata kirjan täältä: ekirja.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s