Entä jos yrityksesi olisi panttivankina viikkokausia

Rikolliset sen tietävät – kiristysohjelmat toimivat ja uusia tulee. Äskettäin löytynyt ”Locky” saastutti muutamassa päivässä puoli miljoonaa tietokonetta ympäri maailmaa.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 31, 2016
Lukuaika: 2 Minuuttia

Hollywood Presbyterian Medical Center -sairaala antoi periksi.

Kalifornialainen sairaala päätti äskettäin maksaa 40 yksikköä Bitcoin-valuuttaa – arvoltaan 17 000 dollaria – päästäkseen eroon kiristysohjelman hyökkäyksestä, joka jumitti sairaalan verkon. Vihdoin myös Yhdysvaltojen valtamedia kiinnitti huomiota tähän vitsaukseen, josta F-Secure on varoittanut jo puoli vuosikymmentä.

Terveydenhuollon organisaatiot ja kaikki yritykset, jotka säilövät arkaluonteisia tietoja asiakkaista, ovat erityisen alttiita tällaisille hyökkäyksille.

F-Securen tietoturva-asiantuntija Sean Sullivan kertoi IBTimes UK -verkkojulkaisulle:

”Sairaalat mielletään osaksi kriittistä infrastruktuuria, mutta silti niillä ei ole samanlaisia raportointivelvoitteita kuin esimerkiksi voimalaitoksilla. Jotkut sairaalat joutuivat uutisotsikoihin. Monet sairaalat raportoivat nykyisin avoimemmin välttääkseen salailusta johtuvat harmit tulevaisuudessa.  Silti monet sairaalat ovat helppoja kohteita.

Työskentelin ennen sairaalassa, jonka verkossa oli 20 000 solmua. Sairaalassa oli voittoa tuottava ja akateeminen puoli, joilla oli erilliset taustajärjestelmät verotussyistä. Kaikkien tietojen piti silti olla käyttäjien saatavilla riippumatta siitä, mihin taustajärjestelmään ne oli säilötty. Vuosien varrella sairaala oli sulautunut toisten kanssa ja hankkinut uusia terveydenhoitoyksiköitä.  Verkko oli siksi äärimmäisen monimutkainen, ja siinä oli runsaasti aukkoja.”

Rikolliset tietävät, että kiristysohjelmat toimivat käytännössä. Uusia hyökkäyksiä tulee jatkuvasti.

Äskettäin kiristysohjelma Locky saastutti muutamassa päivässä puoli miljoonaa tietokonetta ympäri maailmaa.

Asiantuntija Andy Patel kertoo uhkasta tarkemmin F-Securen tutkimusyksikön uutisblogissa.

”Locky-kiristysohjelman yleisin saastutusvektori on tähän asti ollut sähköposti. Viesti väittää Word-liitetiedostoa laskuksi. Uhrin avaama dokumentti näyttää olevan sekaisin, ja se pyytää uhria sallimaan makrot, jotta sisällön saisi näkyviin.  Jos uhri tottelee, tietokoneeseen latautuu ohjelma (ladybi.exe), joka alkaa heti salata datatiedostoja 128-bittisellä AES-menetelmällä.”

Monet yritykset ovat toimineet kuten kalifornialainen sairaala ja maksaneet, sillä kaikkien Microsoft Office -tiedostojen menetys on kuin pahinta painajaisunta.

Locky on rikollisuuden mestarinäyte. Ohjelman kehittynyt infrastruktuuri beta-testattiin ensin pienessä mittakaavassa ihan aidoissa ympäristöissä.  Sitten kiristysohjelma käännettiin useille kielille. ”Eli kaikki oli hyvin suunniteltua”, Kevin Beaumont kirjoitti.

F-Securen tuotekehitysjohtaja Mikko Hyppönen on sanonut:

”Rikolliset ovat jo hyvän aikaa siirtyneet palvelumalleihin. Olemme havainneet muun muassa palveluna toteutettuja DDoS-hyökkäyksiä, pankkimaailman troijan hevosia ja kiristystroijalaisia.”

Makrohyökkäykset olivat viime vuoden kyberturvallisuusalan suuryllätyksiä. Ne käytännöllisesti katsoen hävisivät 1990-luvun jälkeen. Monet yritykset ovat vaaralle alttiita, kun ne ovat taas palanneet.

Jopa täysin päivitetyt verkot ja ajan tasalla pidetyt turvajärjestelmät ovat joutuneet iskujen uhreiksi, kun käyttäjien on sallittu ajaa makroja eikä whitelisting-sääntöjä ole konfiguroitu oikein.

Onneksi F-Securen käyttäjillä on ylimääräinen turvakerros. Andy Patel kirjoitti:

”Kun ajat F-Securen turvaohjelmaa, DeepGuard, käyttäytymistä tarkkaileva moottorimme, estää Lockyn käyttämät hyökkäykset ja vektorit ja itse haittaohjelman käyttäytymisen.  Nämä tarkkailumenetelmät ovat olleet käytössä jo pitkään. DeepGuard noudattaa kehittämäämme kokeile ja testaa -strategiaa. DeepGuard havaitsee haitallisen käyttäytymisen, jota on esimerkiksi sisältöjä lataava Office-dokumentti, tiedostojen poistaminen ja ohjelmakoodin ajaminen. DeepGuard tyssää tämäntapaiset vahingolliset mekanismit ennen kuin ne ehtivät edes aloittaa.”

[Kuva: fdecomite / linkki: Flickr]


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s