Kiristyshaittaohjelma iskee organisaatioihin uusin keinoin

Verkkorikolliset valitsevat uusien kiristyshaittaohjelmien uhrit entistä tarkemmin. Nyt kohteena on yrityksiä ja organisaatioita, joiden verkosta etsitään haavoittuvuuksia. Kohdennettu haittaohjelma aiheuttaa yrityksille vakavaa haittaa ja jälkien korjaaminen on kallista. Keväällä Yhdysvaltoja ja Kanadaa vaivanneella Samsam-haittaohjelmalla on yritetty kiristää myös Suomessa.

Kiristyshaittaohjelmat salaavat tiedostoja ja järjestelmiä uhriin katsomatta niin yksityisten kuin yritystenkin laitteissa. Lunnastroijalaisten saaliiksi on jäänyt työasemia, tietokoneita, tabletteja ja älypuhelimia. Normaaleja kiristyshaittaohjelmia lähetellään massasähköpostikampanjoilla tuhansittain eri vastaanottajille tai piilotetaan suositulle verkkosivustolle. Massatartutus kannattaa, jos riittävän moni maksaa lunnaat. Uusimmat kiristäjät valikoivat uhrinsa tarkemmin, etsivät verkosta heikon kohdan ja yrittävät siitä sisään järjestelmään.

Kiristyshaittaohjelmat vaativat lunnaita salaamistaan tiedostoista. Viestintävirasto neuvoo olemaan maksamatta. Sen sijaan on varauduttava troijalaisten iskuihin huolehtimalla varmuuskopioista, jotta salatut tiedot saadaan palautettua. Sähköpostien liitetiedostojen avaamisessa ja arveluttavien linkkien seuraamisessa on käytettävä harkintaa, mutta uusissa kiristysohjelmissa sekään ei riitä. Myös tunnetut haavoittuvuudet on korjattava pitämällä päivitykset ajan tasalla.

Kohdennettu kiristys

Yksi Suomessa nähdyistä yrityksiin kohdennetuista kiristyshaittaohjelmista on nimeltään Samsam. Samsam-haittaohjelman levittäjä etsii verkosta päivittämättömiä palvelimia, joissa ajetaan haavoittuvaa vanhaa JBoss-palvelinohjelmistoa. Haavoittuvuuden avulla hyökkääjä pystyy keräämään tietoa organisaation verkosta ja käynnistämään kiristyshaittaohjelman järjestelmäoikeuksilla. Sen jälkeen haittaohjelma salaa verkkoympäristöstä kaiken käyttäjähallintaa ja AD-järjestelmää myöten niin, ettei varmuuskopioiden palautuskaan onnistu ennen kuin AD-järjestelmä on asennettu uudelleen. Myös verkkoympäristön Windows-työasemat saavat kiristystartunnan.

Samsam ei ole ainoa haittaohjelma, joka edustaa kiristyshaittaohjelmien uudenlaista kehityskaarta. Se käyttää hyväkseen kohdejärjestelmän haavoittuvuuksia päästäkseen sisälle järjestelmään ja saadakseen järjestelmätunnuksilla enemmän vahinkoa aikaan. Maksukykyisiin uhreihin kohdennetulla kiristyshaittaohjelmalla pyritään suurempiin lunnaisiin ja voittoihin. Lunnasvaatimukset ovat vaihdelleet 1–2 bitcoinin välillä saastunutta tietokonetta kohti. Loppusumma voi nousta satoihin tuhansiin euroihin. Myös keskeytynyt organisaation toiminta ja ympäristön uudelleen asennus aiheuttaa suuria kustannuksia.

Yhdysvalloissa, Kanadassa ja Euroopassa kohdennettuja kiristyshaittaohjelmia on onnistuttu ujuttamaan organisaatioihin tuhoisin seurauksin. Uhreiksi on valikoitunut muun muassa terveydenhuoltoalan yrityksiä ja oppilaitoksia.

Päivitä JBoss-palvelinohjelmisto

Samsam käyttää hyväkseen erityisesti JBoss-palvelinohjelmiston vanhoja haavoittuvuuksia. Ohjelmisto kehotetaan päivittämään turvalliseen uudempaan versioon. Ohjelmistovalmistaja Red Hatin mukaan seuraavat ohjelmistoversiot eivät ole haavoittuvia:

  • Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
  • Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
  • Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
  • Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

Myös ajantasainen virustorjuntaohjelmisto voi tunnistaa Samsamin ja estää sen käynnistymisen työasemissa.


Lisätietoja:

Samsam may signal a new trend of targeted ransomware (Symantec 5.4.2016)

[Teema] Kiristyshaittaohjelmat ovat kasvava kiusa (Tietoturva nyt! 12.7.2016)

Iskikö kiristyshaittaohjelma? Varaudu ja iske takaisin! (Tietoturva nyt! 26.5.2016)

Haittaohjelma tarttuu, vaikka et klikkaisi mitään - osa 1 (Tietoturva nyt! 17.9.2015)

SAMSAM Ransomware Moves from Healthcare Industry to Schools (Trend Micro 19.4.2016)

Päivityshistoria


Asiasanat: Internet, Tietoturva, Haittaohjelma, Kiristyshaittaohjelma, Kyberrikollisuus, Kyberturvallisuus, Palvelin, Tietomurto, Haavoittuvuudet, Tietoturva nyt!


LinkedIn Print