Kiristyshaittaohjelma eli ransomware on tietokoneelle tai mobiililaitteelle iskevä viruksen tyyppinen ongelma, joka voi korruptoida tiedostoja, henkilökohtaisia tietoja, ja paljon muuta. Opi kaikki tarvittava kiristyshaittaohjelmista tästä artikkelista.
Mikä on kiristyshaittaohjelma?
Internetin laajentumisen myötä myös erityyppisiä haittaohjelmia on ilmestynyt monenlaisia, ja yksi niistä on kiristyshaittaohjelma. Ransomware on haittaohjelma, joka päästessään koneellesi tai mobiililaitteeseen salaa kaikki työasemilla ja palvelimilla olevat tiedostot. Näin ollen menetät itse pääsyn kaikkiin saastuneisiin tiedostoihin ja tietoihin, ja ilman pääsyä niihin esimerkiksi yrityksesi on erittäin haavoittuvassa asemassa.
Usein kiristyshaittaohjelmiin liittyy nimensä mukaisesti kiristyksen elementti, eli saadakseen käyttöoikeudet menetettyihin tiedostoihin takaisin, yksityishenkilön tai yrityksen on maksettava haittaohjelman tekijän vaatimat lunnaat, jonka jälkeen parhaassa tapaukset lukitut tiedot palautetaan. Tästä ei kuitenkaan koskaan ole takeita. Kiristyshaittaohjelmat ovat tuhoisa kyberhyökkäyksien muoto, jotka voivat uhata yrityksesi elinkelpoisuutta.
Kuinka Ransomware saastuttaa järjestelmiä
Kiristyshaittaohjelma voi päästä tietokoneelle käyttämällä yhtä näistä yleisistä väylistä.
- Musiikin ja elokuvien laiton lataaminen. Usein laittomat lataukset sisältävät haittaohjelmia.
- Tietojenkalasteluviestit. Huijaussähköpostit, jotka yrittävät houkutella uhrin klikkaamaan itsensä vilpilliselle verkkosivustolle tai avaamaan haitallisen tartunnan saaneen liitteen.
- Yrityksen suoja-alueen heikkouksien hyödyntäminen. Esimerkiksi Remote Desktop Protocol (RDP) on teknologia, jonka avulla yrityksen henkilökunta voi käyttää toimiston ohjelmia työntekoon silloin, kun he tekevät töitä kotoa käsin tai tien päällä. RDP:n toteutuksessa on havaittu haavoittuvuuksia aiemmin. Kun näitä haavoittuvuuksia on hyödynnetty tietyllä tavalla, niitä on voitu käyttää kiristysohjelmien levittämiseen.
Ongelman koko
Erityisesti edellä mainittujen RDP-haavoittuvuuksien hyödyntäminen on yksi tekniikoista, joita tunnettu NotPetya kiristyshaittaohjelma käyttää. NotPetya on luultavasti maailmanlaajuisesti haitallisin esimerkki kiristysohjelmista, joita on tähän mennessä nähty. Vuonna 2017 se lamautti yrityksiä kaikkialla maailmassa alkaen pk-yrityksistä aina jättiyrityksiin asti.
A. P. Moeller-Maersk on maailman suurin konttilaiva- ja toimitusalusten valmistaja. Lisäksi yrityksen palveluihin kuuluu toimitusketjun hallinta, satamien käyttö ja öljynporaus. Mutta 27. kesäkuuta 2017 yritys menetti toimintakykynsä noin neljäksi tunniksi 130 maassa kiristyshaittaohjelman vuoksi. Maersk ei maksanut lunnaita. Heillä oli varaa ottaa käyttöön uusia kannettavia tietokoneita, palvelimia ja IP-pohjaisia puhelinjärjestelmiä rakentaakseen järjestelmänsä uudelleen.
Lopullinen haittaohjelman hintalappu yritykselle oli yli 300 miljoonaa euroa.
Norsk Hydro menetti käytännössä kaiken kykynsä valmistaa alumiinia LockerGogo -kiristyshaittaohjelmatartunnan vuoksi. Myös tämä yritys kieltäytyi maksamasta lunnaita, mutta joutui kuitenkin maksamaan yli 40 miljoonan dollarin laskun. Myös espanjalainen ruokajätti Mondelez kärsi NotPetyasta vuonna 2017, ja se kärsi 100 miljoonan dollarin tappiot ja vahingot.
On syytä mainita, että yrityksille suunnattu kybervakuutus on suunniteltu kattamaan tietoturvahyökkäysten käsittelykulut, kuten tapausten käsittelyyn erikoistuneiden tiimien kutsuminen paikalle, laitteiston vaihtaminen, vaarantuneiden järjestelmien puhdistaminen, median käsittely ja vihjelinjojen käyttäminen asianomaisille rekisteröidyille. Ne eivät yleensä kuitenkaan kata kaupankäynnin menettämisestä aiheutuneita vahinkoja.
Kiristyshaittaohjelma vai kybersota?
Jos kiristyshaittaohjelma aiheuttaa yritykselle suuria kustannuksia, ja tapaus luokitellaan “kybersodankäynniksi”, vakuutuksen antajat voivat käyttää “sotatoimia” syynä olla maksamatta yritykselle korvauksia.
Iso-Britannia, Yhdysvallat, Australia ja Kanada ovat kaikki tutkineet NotPetyan lähdekoodin ja todenneet sen olevan lähtöisin Venäjän federaation puolustusvoimien pääesikunnan pääosastolta (GU), eli Venäjän federaation tiedustelupalvelulta.
Edellä olevat suure yritykset ovat suurten otsikoiden arvoisia uhreja. Mutta niiden lisäksi NotPetya vaikutti myös lukemattomiin pieniin ja keskisuuriin yrityksiin, pieniin organisaatioihin ja yrityskokonaisuuksiin.
KeRanger lunnasohjelma oli sen sijaan ensimmäinen laatuaan, joka oli erityisesti suunniteltu hyökkäämään Mac-tietokoneisiin. Se julkaistiin vuonna 2016. Myös mobiililaitteet ja matkapuhelimet olivat vaarassa. Kiristysohjelma lukitsee laitteen käyttäjän kokonaan ulos laitteesta eikä päästä takaisin sisään ennen kuin lunnaat on maksettu.
Useimmat matkapuhelinten tartunnat ovat seurausta haitallisten sovellusten asentamisesta.
Mitä Ransomware tekee?
Jokainen kiristyshaittaohjelma aiheuttaa (tai jäljittelee) ongelman ja vaatii maksua ongelman poistamiseksi. Kuten kaikkien haittaohjelmien kohdalla, kiristyshaittaohjelmat toimivat eri tasoilla. Näitä tasoja ovat seuraavat:
Scareware
Scareware-ohjelmalla näyttöön tulee viesti, joka ilmoittaa, että tietokoneessasi on jotain vikaa, se on saastunut tai hakkerit ovat murtautuneet tietokoneellesi. Sinulle kerrotaan, että ongelman korjaamiseksi sinun on maksettava lunnaat, ja että jos teet niin, tietokone puhdistetaan ja hakkerit jättävät sinut rauhaan. Joskus nämä viestit on naamioitu IT- tai teknisen tukipaketin muotoon tai jopa Microsoftin tueksi.
Tämäntyyppinen hyökkäys ei vaikuta tiedostoihisi. Jos tietokone skannataan viruksista ja puhdistetaan ponnahdusviestin poistamiseksi, se palaa normaaliin toimintaan.
Näytönlukitsija
Tämäntyyppinen kiristyshaittaohjelma avaa koko näytön kokoisen ikkunan, jota et voi ohittaa etkä sulkea. Sen näyttämä viesti on usein muunnelma joistakin näistä yleisistä teemoista:
- Sinuun on kohdistunut lunnasohjelma, maksa lunnaat. Helppo ja yksinkertainen.
- Suojelupoliisi tai muu lainvalvontaviranomainen on havainnut tietokoneeltasi laittomia latauksia, piraattiohjelmistoja, rikollista pornografiaa jne. Maksa sakko palauttaaksesi koneen toimintakuntoon.
Tällaisissa tilanteissa täytyy aina huomata, että jos jokin näistä olisi totta, noudatettaisiin niissä asianmukaista menettelyä, eli yhteydenotto tulisi jotakin muuta, virallisempaa kautta – ei näytön lukitsevan viestin kautta.
Salauksen murtava kiristyshaittaohjelma
Tämä on todellinen uhka. Tämän tyyppinen kiristyshaittaohjelma todella salaa tiedostosi pois ulottuviltasi. Usein ne voivat piilotella koneellasi viikkoja ennen niiden laukaisua varmistaakseen, että ne voivat saastuttaa mahdollisimman monta tietokonetta. Ne odottavat, kunnes etänä toimiva henkilökunta on todennäköisesti käynyt pääkonttorissa, jotta myös nämä kannettavat tietokoneet voivat saada tartunnan.
Tämä tarkoittaa usein sitä, että lunnasohjelmat on sisällytetty varmuuskopioihisi. Eli jos yritys päättää rakentaa järjestelmät uudelleen lunnaiden maksamisen sijaan, tartunta siirtyy tietojen mukana. Näin ollen haittaohjelma käynnistyy uudelleen muutaman viikon kuluttua.
Yleisesti tämä teknologia toimii niin, että kiristysohjelma kerää tietoa ja lähettää ne takaisin komento- ja ohjauspalvelimille. Se raportoi takaisin tukikohtaan, vastaanottaa uudet ohjeet palvelimen automatisoidulta ohjelmistolta ja toimii näiden ohjeiden mukaan. Tämä sykli toistuu.
On kuitenkin ollut muutamia tapauksia, joissa etänä toimiva tekoäly ei ollut komento- ja ohjauspalvelin, vaan ihminen. Tämä henkilö ohjasi haittaohjelmaa, kuten etädronea, ja varmisti viikkojen ajan, että se saastuttaa kaiken IT-infrastruktuurin, paikalliset varmuuskopiot ja ulkopuoliset varmuuskopiot ennen hyökkäyksen käynnistämistä.
Kiristyshaittaohjelma – Ketkä ovat yleisimmät kohteet?
Kiristyshaittaohjelma voidaan kohdistaa suoraan tietyille uhreille, tai ne ovat satunnaisia tartuntoja, jotka ovat peräisin miljooniin sähköpostiosoitteisiin lähetetyistä tietojenkalastelu sähköpostiviesteistä tartuttaakseen mahdollisimman monta uhria.
- Vuoden 2019 hyökkäykset Yhdysvalloissa kaupunkien, kuten Baltimore, Riviera Beach, Florida, Wilmer, Texas ja New Bedford keskeisiä palveluita vastaan oli kohdistettu tarkkaan, ja ne oli suunniteltu mahdollisimman vaikuttaviksi.
- Sairaalat ovat usein kohteena, koska kun kyse on elämästä ja kuolemasta, järjestelmät on palautettava toimintakuntoon mahdollisimman nopeasti keinolla millä hyvänsä. Sairaalat maksavatkin usein lunnaat.
- Toinen yleisesti kohteena oleva ala on rahoitussektori, yksinkertaisesti siksi, että siellä on varaa valtavien lunnaiden maksamiseen.
Useimmat hyökkäykset osuvat kuitenkin uhreihin, joiden olemassaolosta haittaohjelmien kehittäjät eivät edes tiedä – kunnes kiristysohjelma laukeaa.
Kuinka suojautua kiristysohjelmilta
Kiristyshaittaohjelma voi häiritä yritysten lisäksi yksityishenkilöiden elämää, kuten huomasimme Vastaamon tietomurron tapauksessa. Niiltä välttyminen vaatii näiden vaiheiden ja kyberturvallisuuden parhaiden käytäntöjen käyttöönottoa ja noudattamista yleisesti:
- Pidä kaikki työasemasi, kannettavasi ja palvelinten käyttöjärjestelmäsi päivitettyinä ja ajan tasalla. Tämä vähentää järjestelmissäsi olevien haavoittuvuuksien määrää. Mitä vähemmän haavoittuvuuksia, sitä vähemmän mahdollisia hyväksikäyttöjä.
- Älä käytä järjestelmänvalvojan oikeuksia mihinkään muuhun kuin hallintaan. Älä myöskään anna ohjelmille ja prosesseille järjestelmänvalvojan oikeuksia.
- Asenna keskitetysti hallittu päätepisteen suojausohjelmisto, joka sisältää virus- ja haittaohjelmien torjuntatoiminnot, ja pidä se ajan tasalla. Varmista, että käyttäjät eivät voi kieltäytyä allekirjoitusten tai kaksivaiheisen todennuksen päivityksistä tai lykätä niitä.
- Tee usein varmuuskopioita eri välineille, mukaan lukien varmuuskopiot ulkopuolelta. Tämä ei estä tartuntaa, mutta auttaa niistä toipumisessa. Testaa varmuuskopiot säännöllisesti.
- Luo palautussuunnitelma parantaaksesi yrityksesi toimintakykyä, jos kiristyshaittaohjelma kohtaa sinut.
- Luo kybertapahtumien käsittelykäytäntö ja harjoittele sitä.
- Järjestä henkilöstöllesi kyberturvallisuuskoulutusta. Jos he löytävät tuntemattoman muistitikun parkkipaikalta lounasaikaan, aikovatko he kytkeä sen johonkin tietokoneeseesi heti lounaan jälkeen? Tietävätkö he olla avaamatta ei-toivottuja sähköpostin liitteitä? Työskentelevätkö he varovaisesti, ja näin edistävät yrityksen kyberturvallisuutta?
Pitäisikö lunnaat maksaa?
Useimmat kyberturvallisuuteen osallistuvat lainvalvontaviranomaiset ja valtion virastot neuvovat kiristyshaittaohjelma hyökkäyksen kohteeksi joutuvia olemaan maksamatta lunnaita ja kehottavat ilmoittamaan hyökkäyksestä. Lunnaiden maksaminen tarkoittaa, että uhkatekijöitä rohkaistaan jatkamaan hyökkäyksiä. Jos kukaan ei maksa heille, teorian mukaan lunnasohjelmat ovat turhia ja kuolevat pikkuhiljaa pois.
Kun verrataan lunnaiden kustannuksia lunnaiden maksamatta jättämiseen liittyviin kustannuksiin, päätösten tekeminen nopeasti on kuitenkin haastavaa. On otettava huomioon laitteiden puhdistamisen tai vaihtamisen, toimialajärjestelmien uudelleenrakentamisen ja palauttamisen kokonaishinta sekä tulojen menetys.
Harvalla organisaatiolla on taloudellista vaikutusvaltaa kestää edellä mainitun Maerskin tyyppinen hyökkäys. Joskus myös mainevaurioiden pelko – ja hinta – pakottaa yritykset maksamaan lunnaat. Halutaan suojella asemaa asiakkaiden ja laajemman markkinapaikan silmissä asettamalla lyhyt käyttökatko ja vetoamalla teknisiin ongelmiin haittaohjelman selvittämisen ajaksi.
Loppujen lopuksi koskaan ei ole takeita siitä, että jos lunnaat maksetaan, niin lukitut tai varastetut tiedot saadaan takaisin. On olemassa arvioita, joiden mukaan 65 prosenttia ransomware-hyökkäyksistä ei raportoida, ja lunnaat maksetaan. Esimerkiksi 5 miljoonan dollarin lunnaat voidaan nähdä kohtuuhintaisina keskisuurille yritykselle, ja halvempina kuin kustannukset, jotka liittyvät lunnaiden maksamatta jättämiseen.
Voiko varastettuja tietoja saada takaisin?
Arvioiden mukaan 65–70 prosentissa tapauksista tietojen salaus puretaan onnistuneesti sen jälkeen, kun lunnaat on maksettu. Joskus salauksen purkurutiineja ei kuitenkaan ole edes olemassa, jolloin rikolliset ottavat rahat ja juoksevat. Tämä on kuitenkin sinällään lyhytkestoinen ja kertaluontoinen huijaus.
Jos hyökkäyksen kohteelle kerrotaan, että se ei saa varastettuja tietoja takaisin, lunnaiden maksamiseen ei ole mitään syytä, sillä kohteet on menetetty. Siksi on taloudellisesti järkevää, että rikolliset purkavat uhrien tiedostojen salauksen ja palauttavat tiedot aina kun voivat.
Joskus voi kuitenkin käydä niinkin, että salauksen purkuohjelmat eivät yksinkertaisesti toimi. Kaikki ohjelmistot ovat alttiita virheille. Hyökkääjät käyttävät enemmän kehitysaikaa ja vaivaa tartunta-, replikointi- ja salausrutiineihin kuin salauksen purkurutiineihin. Ei ole aina heistä kiinni, toimiiko kaikki niin kuin pitäisi.
Loppupeleissä aina on helppo huudella, että älä missään nimessä maksa lunnaita, mutta riippuen esimerkiksi yrityksen alasta ja koosta, lunnaiden maksaminen voi joskus olla se järkevin vaihtoehto. Mutta kuten aina, ennaltaehkäisy on se halvin ja pisimmälle kantava strategia, minkä vuoksi virustorjuntaohjelmista ja palomuureista kannattaa pitää huolta.