[Teema] Suomi kertoo: Kiristystä, kiusaa ja ylimääräistä työtä

Viestintävirasto kysyi kokemuksia kiristyshaittaohjelmista. Puolet vastaajista kertoi törmänneensä kiristyshaittaohjelmiin, onneksi harvempi oli päätynyt kiristyksen uhriksi. Tilanteista selviää varmuuskopioinnin, virustorjunnan ja sähköpostin suodatuksen avulla. Myös käyttäjäoikeuksien järkeistäminen ja koulutus osoittautuivat tehokkaiksi suojautumiskeinoiksi.

Viestintävirasto kyseli kesä-heinäkuussa suomalaisten kokemuksia kiristyshaittaohjelmista. Kyselyyn on tullut 111 vastausta, joista 71 % yrityksiltä ja organisaatioilta. Noin puolet vastaajista kertoi kohdanneensa itse kiristyshaittaohjelmia ja 36 % jääneensä kiristyksen uhriksi. Onneksi suurin osa kiristyksen uhreista oli selvinnyt tilanteesta varmuuskopioilla tai muilla keinoilla ja vain kolme kertoi maksaneensa haittaohjelman vaatimat lunnaat. Lunnaita maksettiin virtuaalivaluutalla ja summa vaihteli 500 ja 1000 euron välillä.

Haittaohjelmien uhrit kertovat kokemuksistaan allaolevissa lainauksissa:

  • Haittaohjelma pääsi yrityksen verkkoon ja salasi verkkolevyiltä tuotekehitysmateriaalia. Onni onnettomuudessa, että vain muutamaa tiedostoa oli muokattu edellisen yön varmuuskopioinnin jälkeen. Kaikki muu saatiin palautettua varmuuskopioilta.
  • Yksittäisiä tartuntoja, ei onneksi päässyt laajentumaan työasemaverkkoon. Nopean hälytyksen avulla saastuneet koneet saatiin eristettyä ja siivottua.
  • Käyttäjämme klikkasi huijauslinkkiä älypuhelimella ja kiristyshaittaohjelma lähti latautumaan! Onneksi silloinen ohjelma ei toiminut iPhonessa.

Virustorjunta pysäyttää haitakkeen – useimmiten

Usein virustorjunnasta on apua, mutta sekään ei aina yksin riitä. Kiristyshaittaohjelmia tehtaillaan ja muunnellaan päivittäin useita erilaisia, jotta virustorjuntatietokannat eivät pysyisi niiden perässä.

  • Palomuuriohjelmisto on hälyttänyt joka kerta eikä kiristyshaittaohjelma ole päässyt läpi.
  • Ensimmäiset kryptologger-tartunnat pääsivät ajantasaisen virustorjunnan läpi. Myöhemminkään virustietopäivitykset eivät ole saaneet kaikkea kiinni.
  • "Poliisi"-kiristysohjelma tarttui kotona ja lukitsi koneen. Käyttämäni virustorjunta ei pystynyt poistamaan haittaohjelmaa, mutta verkosta löytyi vinkki toiseen tuotteeseen, jonka ilmaisversio korjasi tilanteen.
  • Useita tapauksia: TeslaCryptiä, Lockyä, Cerberiä, jne. Onneksi virustorjunta on keskeyttänyt kaikki haittaprosessit ennen kuin tiedostoja on tuhottu.
  • Virus oli niin tuore, että virustutkamme ei aamupäivällä tunnistanut sitä. Testasimme uudelleen iltapäivällä, jolloin virus jo jäi kiinni.
  • Suojausohjelma pysäytti kiristäjän eikä vahinkoa päässyt syntymään.

Yritysverkon riskit moninkertaiset

Eniten vahinkoa kiristyshaittaohjelmat saavat aikaan yritysverkoissa. Kun lunnastroijalainen pääsee valloilleen käyttäjän koneella, sillä on kaikki käyttäjän oikeudet ja pääsyvaltuudet yrityksen verkossa. Siksi tietohallinnossa kannattaakin pitää huoli verkon segmentoinnista ja käyttövaltuuksien riittävästä rajaamisesta. Liian suurilla oikeuksilla haittaohjelmakin pääsee tekemään tuhojaan tarpeettoman laajalle. Huonolla tuurilla menetetään samalla yhteisen verkkolevyn jaetut aineistot ja vielä varmuuskopiotkin.

  • Kiristyshaittaohjelma iski sairaalan tietojärjestelmään. Korjaus saattaa viedä jopa päiviä ja haitata suoraan erikoissairaanhoitoa. Kun kaikkia tietojärjestelmiä ei voida käyttää, sairaala toimii pienemmällä teholla. Myös tietohallinnolla olisi muutakin tekemistä kuin siivota jonkun ilkimyksen tihutöitä.
  • ICT-palveluntoimittajalle kiristyshaittaohjelmatapaukset ovat jokapäiväisiä. Niistä aiheutuu kustannuksia ja pahimmillaan myös ongelmia, jos varmuuskopioita ei ole. Lunnaiden maksajiakin on – jopa toistuvasti! Liiketoiminnalle koituu silti merkittäviä kustannuksia, maksoi lunnaat tai ei. Jos maksaa lunnaat, saa entistä hanakammin lisää ja kalliimpia ransomware-hyökkäyksiä.

Kiusaa, vaivaa ja ylimääräistä työtä

Vaikka lunnaita ei tarvitsisi maksaa, haittaohjelman siivoaminen aiheuttaa aina ylimääristä työtä, vaivaa ja kustannuksia. Yrityksen verkossa jylläävä haitake saattaa katkaista monien työntekijöiden päivätyöt, kun tarvittavat sovellusohjelmat eivät toimi. Arvokasta työaikaa kuluu kaikilta, kun tietohallinto selvittää ja korjaa asiaa.

  • Tartunta tuli viattoman oloiselta blogisivustolta murretun Wordpressin kautta päivittämättömän flash playerin avulla. Salauskiristyksen vangiksi jäi yksi työasema, yksi verkkohakemisto ja osa jaetusta verkkolevystä, johon oli rajoittamattomat kirjoitusoikeudet. Illalla iskenyt tuholainen huomattiin aamulla, kun verkkosovellukset eivät toimineet. Selvittelyyn ja korjauksiin meni usean henkilön työpäivä.
  • Otettiin saastunut kone pois verkosta ja palautettiin tiedostot varmuuskopioista. Aiheutti aivan hirveästi ylimääräistä työtä!
  • Vaikka varmuuskopiot saa palautettua, siinä menettää puolen päivän työt.

Varmista varmuuskopioiden toiminta!

Tepsivin suoja jo iskenyttä lunnastroijalaista vastaan on toimiva varmuuskopiokäytäntö. Ajantasaisilta varmuuskopioilta palautetut tiedot minimoivat haittaohjelmien aiheuttamat vahingot. Parhaassa tapauksessa menetetään vain aivan viimeisimmät muutokset tiedostoihin. Varmuuskopioista on apua vain, jos ne toimivat oikein eikä niiden päälle voi normaalisti kirjoittaa. Varmuuskopiokäytäntöä on hyvä testata säännöllisin väliajoin.

  • Sama asiakas sai vuoden aikana neljä kertaa tartunnan saman sarjan haittaohjelmasta. Onneksi varmuuskopiot ovat aina toimineet ja maksimissaan on menetetty vain tuntien työ.
  • Ajantasaiset varmuuskopiot antavat suojaa kiristyksiä vastaan. Täytyy vain muistaa varmistaa myös mobiililaitteet sekä mobiiliverkon että WLAN-verkon ylitse.
  • Tartunnan saatuamme noudatimme palveluntarjoajan ohjeita. Ajantasaiset varmistukset pelastivat tietojen menetykseltä. Olemme lisänneet tiedotusta ja koulutusta entisestään.
  • Varmuuskopion ongelma pakotti maksamaan lunnaat. Toivottavasti tämä ongelma ei tule toistumaan.
  • Suojaus oli puutteellinen, joten yksi kone saastui. Windows-koneen toimialueella ei ollut virustorjuntaa, joten kaikki jaetut tiedostot menivät myös. Varmuuskopiot olivat pilvessä suoraan kirjoitettavissa, joten nekin menivät! Onneksi tiedot sai vielä palautettua pilven varjosta (shadow copy).

Suodata ohjelmat ja makrot sähköpostista

Tavallisimmin kiristyshaittaohjelma yrittää päästä koneelle sähköpostien liitteiden avulla. Liitetiedostoja kannattaa lähestyä varoen ja useissa yritysverkoissa suoritettavat liitteet pysäytetään sähköpostisuodattimiin. Myös Office-dokumenttien makrokoodit kannattaa kytkeä pois päältä kaikista verkon kautta ladatuista tiedostoista.

  • Roskapostisuodatus poistaa sähköpostiliikenteestä kaiken suoritettavan ohjelmakoodin sekä makroja sisältävät dokumentit. Vain salasanasuojatut zip-tiedostot päästetään läpi. Turvatoimet ovat pitäneet, mutta suurin ansio on hyvin valistetuissa käyttäjissä.
  • Pahimman hyökkäyskampanjan aikana olemme myös estäneet webmail-palvelujen käytön, jotta liitetiedostot eivät pääse valvomattoman sähköpostipalvelimen läpi.
  • Yhteiskäyttöisille sähköpostitunnuksille tulee paljon roskapostia ja muuta, joiden osalta ei osata olla niin tarkkoja.

Vain tarpeelliset oikeudet ja levyjaot

Yritysverkkoon saattaa unohtua kaikenlaisia vanhojakin levyjakoja, joiden tarkoitusta kukaan ei oikein enää muista. Kaikista levyjaoista ja niiden käyttäjistä ja oikeuksista on hyvä pitää kirjaa, jotta niitä voidaan tarvittaessa poistaa ja lisätä hallitusti. Oikeuksia ei kannata jakaa tarpeettomasti vain "varmuuden vuoksi".

  • Tartunnan saaneiden koneiden käyttäjillä oli liian laajat oikeudet yhteiselle verkkolevylle.
  • Lopputuloksena koneen normaalin käyttäjätunnuksen oikeuksia rajattiin.
  • Ensimmäinen versio osasi kryptata vain käyttäjälle mapattuja verkkolevyjä, mutta seuraava versio osasi jo etsiä kaikkia avoimia jakoja. Todella veemäisiä viruksia!

Kouluta, tiedota, panosta verkonvalvontaan

Niin yritysverkoissa kuin kotonakin asianmukaisesti koulutettu käyttäjäkunta on paras turva kiristyshaittahyökkäyksiä vastaan. Myös nykyaikaiset torjuntatekniikat auttavat selviytymään ongelmista jo ennen niiden syntymistä.

  • Henkilöstön koulutukset, sisäinen tiedotus, parantuneet prosessit ja uudet teknologiat auttavat pitämään kiristyshaittaohjelmat kurissa. Perinteinen virustorjunta on auttamatta jäljessä, joten otimme käyttöön sandboxingin ja uuden sukupolven palomuurit (NGFW).
  • Lähes 500 työntekijän organisaatiomme on selvinnyt hienosti, kun ainuttakaan kiristystapausta ei ole raportoitu. Ilmeisesti HAVARO-valvontapalvelu ja VY-verkon haittaohjelmien suodatuspalvelu IRHS ovat auttaneet pitämään tuholaiset kurissa.
  • Järjestelmässämme on tuhansia työasemia eikä yhtään kiristyshaittaohjelmatartuntaa. Jotakin on selvästi tehty oikein.

Uhri ei ole syyllinen

Aina ei uhri ole yhtä onnekas, tietoja ei saa takaisin eikä välttämättä edes lunnaiden maksu auta. Varhaisilla kiristysohjelmilla oli tapana syyllistää uhriaan väittämällä käyttäjän tehneen jotakin väärää.

  • Erityisesti 2014–2015 puhdistimme paljon haittaohjelmia asiakkaidemme koneista. Monet asiakkaat olivat häpeissään tapahtuneesta, uskottiinhan tartuntojen tulevan "arveluttavilta" sivustoilta. Varmasti moni oli jättänyt hakematta apua sen vuoksi.
  • Käytännössä hyökkääjän infra oli niin kelvotonta, ettei luvattu tiedostojen palautus olisi mitenkään toiminut vaikka lunnaat maksaisi.
  • Haittaohjelmatapauksesta ei selvitty. Kone oli muutenkin jo vanha, joten hankimme ja asensimme uuden, mistä aiheutui ylimääräistä työtä. Tietojen palautus ei ollut vaivan arvoista, joten ne menetettiin.


Lisätietoja

Päivityshistoria

Asiasanat: Internet , Tietoturva , Haittaohjelma , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248