Viimeisimmän McAfee-uhkaraportin mukaan kiristysohjelmahyökkäykset lisääntyivät 118% vuoden 2019 ensimmäisellä neljänneksellä. Hyökkäysten lukumäärän nousun lisäksi vuoden aikana ilmestyi uusia kiristysohjelmaperheitä, minkä lisäksi verkkorikolliset käyttivät entistä innovatiivisempia tekniikoita kaaoksen luomiseen.
Uudet kiristysohjelmaperheet
Verkkorikolliset keksivät edelleen uusia ja innovatiivisia tapoja yritysten kohdentamiseen ja tartuttamiseen. Keihäshuijaustaktiikat ovat edelleen monien uhkatoimijoiden suosima valinta. Silti McAfeen tutkijat sanoivat, että ”yhä useammat hyökkäykset onnistuvat pääsemään niiden yritysten tietoihin käsiksi, jolla on avoimia ja suojattomia etäkäyttöpisteitä, kuten etäpöytäprotokolla (RDP) ja virtuaalinen verkkolaskenta (VNC)”. Hakkerit voivat usein käyttää näitä käyttöoikeustietoja, koska yritykset jättävät RDP-asiakasportit usein auki Internetiin - avoimien RDP-porttien haku IP-osoitteiden seasta on helppoa. Hyökkääjät yrittävät sitten pakolla saada haltuunsa etätyöpöydän käyttäjänimen/salasanan. Hakkerit voivat saada RDP-käyttöoikeustietoja myös laittoman kaupan ja salasanavuotojen kautta.
Anatova
Vuoden 2019 löytö oli kiristysohjelma Anatova. Tämä uusi kiristysohjelmaperhe piilottaa itsensä pelin tai sovelluksen kuvakkeeksi huijatakseen käyttäjää lataamaan sen. Tämä äärimmäisen edistyksellinen haittaohjelmien muoto mukautuu nopeasti ja estää sen havaitsemisen välttely- ja levitystekniikoiden avulla. Modulaarisen rakenteensa ansiosta se voi upottaa itseensä lisätoimintoja, jotka antavat sille mahdollisuuden kiertää kiristysohjelmien estomenetelmiä. Onneksi McAfee Advanced Threat Research -tiimi löysi tämän uuden kiristysohjelmaperheen vuoden 2019 alkupuolella, ennen kuin siitä tuli merkittävä uhka.
Dharma
CrySiS:n variantti Dharma-kiristysohjelma on ollut olemassa vuodesta 2018, mutta verkkorikolliset julkaisevat edelleen uusia variantteja, joita on mahdotonta purkaa.
GandCrab
Haitallinen kiristysohjelma, joka käyttää AES-salausta ja ujuttaa järjestelmään tiedoston nimeltä 'GandCrab.exe'. GandCrab on suunnattu kuluttajille ja yrityksille, joilla on Microsoft Windows -käyttöjärjestelmällä toimivia tietokoneita. 31.5.2019 GandCrabin takana olevat verkkorikolliset lähettivät tiedotteen, jossa he ilmoittivat, että he lopettavat kaikki GandCrab-kiristysohjelmahyökkäykset ja väittivät, että he olivat ansainneet yli 2 miljardia Yhdysvaltain dollaria lunnasmaksuja ja että he jäävät ”ansaitulle eläkkeelle”.
Ryuk
Ryuk:n kohderyhmänä ovat erityisesti suuret organisaatiot korkean taloudellisen tuoton saamiseksi. CrowdStrike:n mukaan elokuun 2018 ja tammikuun 2019 välisenä aikana Ryuk nettosi yhteensä yli 705,80 bitcoinia 52 eri tapahtumassa, joiden kokonaisarvo oli 3.701.893,98 Yhdysvaltain dollaria. Se kiinnitti ensin huomiota hyökkäyksellään Tribune Publishing -yrityksen toimintoihin joulun 2018 aikaan. Aluksi yritys luuli hyökkäystä palvelinkatkokseksi, mutta pian selvisi, että kyseessä oli Ryuk-kiristysohjelma.
Toinen termi kiristysohjelmille kuten Ryuk, joiden kohteena ovat suuret yritykset motiivinaan sijoitetun pääoman korkea tuotto, on ”big game hunting”. Näihin laaja-alaisiin hyökkäyksiin liittyy kampanjoiden yksityiskohtainen räätälöinti niin, että ne sopivat parhaiten yksittäisiin kohteisiin, mikä lisää hyökkäysten tehokkuutta. ”Big game hunting” vaatii siis hakkereilta paljon enemmän työtä; se myös yleensä käynnistetään vaiheittain. Ensimmäinen vaihe voi esimerkiksi olla tietojenkalasteluhyökkäys, jonka tarkoituksena on tartuttaa yritysverkkoon haittaohjelmia järjestelmän kartoittamiseksi ja kriittisten hyökkäyksen kohteiden tunnistamiseksi. Vaiheet kaksi ja kolme ovat sarja kiristys- ja lunnashyökkäyksiä tai -vaatimuksia.
Emotet
Emotet oli alun perin pankeille kohdistettu haittaohjelma – sen tarkoituksena oli hiipiä tietokoneelle ja varastaa arkaluontoisia ja yksityisiä tietoja. Ensimmäisenä sarjassaan vuonna 2014 ilmestynyt Emotet on käynyt läpi erilaisia versioita, jotka ovat kehittyneet kiristysohjelmiksi ja jotka voivat välttää jopa joidenkin haittaohjelmien torjuntatuotteiden tunnistamisen. Alusta lähtien Emotet on varastanut pankkitunnuksia, taloudellisia tietoja ja Bitcoin-lompakoita yksityishenkilöiltä, yrityksiltä ja julkisyhteisöiltä kaikkialla Euroopassa ja Yhdysvalloissa.
Käyttämällä matomaisia ominaisuuksia tarkoituksenaan levitä muihin tietokoneisiin, hakkerit ujuttavat Emotetin yleensä sisään roskapostisähköposteilla, jotka näyttävät laillisilta ja käyttävät houkuttelevaa kieltä huijatakseen uhrin napsauttamaan linkkiä.
Emotet on yksi kalleimmista ja tuhoisimmista haittaohjelmista – Yhdysvaltain turvallisuusministeriön mukaan keskimääräisen Emotet-hyökkäyksen aiheuttamat puhdistuskustannukset ovat yli 1 miljoonaa Yhdysvaltain dollaria.
Kuinka suojautua kiristysohjelmilta
Taistelussa kiristysohjelmia vastaan on otettava huomioon monia asioita. Koska tänä päivänä on olemassa niin monia erityyppisiä haittaohjelmia, olisi hyvä pitää mielessä seuraavat kolme vinkkiä ja toimia niiden mukaisesti.
1. Sähköpostin turvaaminen on tärkeää
McAfeen mukaan roskapostisähköpostit kuuluvat edelleen kiristysohjelmavirusten pääasiallisiin sisääntuloväyliin, erityisesti kohdennettujen hyökkäysten tapauksissa. Siksi tämän tärkeän haavoittuvuuden lähteen turvaaminen on välttämätöntä kaikille, jotka käyttävät verkkoa tai muodostavat yhteyden Internetiin.
Useimmat ihmiset laukaisevat kiristysohjelmahyökkäyksen avaamalla normaalilta näyttävän sähköpostin, joka sisältää viruksen asiakirjassa, valokuvassa, videossa tai muun tyyppisessä tiedostossa. Useimmat hakkerit eivät nykyään tarvitse paljon tietoa pystyäkseen lisäämään osan haittaohjelmaa tiedostoon; on olemassa lukuisia artikkeleita ja YouTube-oppaita, joissa on vaiheittaiset ohjeet tätä varten.
Tätä silmällä pitäen sinun tulisi aina välttää sähköpostien avaamista tuntemattomilta lähettäjiltä. Jos saat sähköpostiviestin tuntemattomasta lähteestä, ilmoita siitä heti yrityksen tietoturvaneuvojalle tai IT-tiimille.
Muista: yrityksesi IT-järjestelmien ja tietojen suojaaminen on aina oikea päätös.
2. Tee verkko- ja IT-ympäristösi turvallisiksi
Se, että kiristysohjelma saastuttaa yhden tietokoneen on epäilemättä vakava ongelma. Mutta kun kiristysohjelma leviää koko verkkoon, siitä voi tulla paitsi IT-osaston painajainen, se voi myös vaarantaa koko liiketoiminnan.
Yritysten, jotka eivät ole vielä tehneet niin, tulisi harkita tietoturvaohjelmiston käyttöönottoa, joka tarkistaa kaikki saapuvat sähköpostit ennen kuin tarkoitettu vastaanottaja vastaanottaa ne. Tällainen ratkaisu vähentää suuresti viruksen leviämisen riskiä yrityksen verkossa. Lisäksi IT-järjestelmänvalvojien ja johdon tulisi harkita verkkoturvaohjelmiston käyttöönottoa. Tällainen ohjelmisto tarkkailee verkkoa ja sen tiedostoja automaattisesti uhkien varalta. Ratkaisu hälyttää järjestelmänvalvojia myös, jos kiristysohjelmahyökkäys yrittää purkaa valtavan tiedostomäärän salauksen verkon kautta.
Viimeisenä mutta ei vähäisimpänä: päivitä ohjelmistot ja käyttöjärjestelmät aina uusimmilla korjauspäivityksillä heti, kun ne ovat saatavilla. Kuten niin usein on todettu, hakkerit ovat onnistuneet hyökkäyksissään vain, kun uhrin tietoturvakäytännöissä on aukkoja.
3. Tee työntekijöistäsi älykkäitä
Jopa kokeneet tietokoneen käyttäjät joutuvat paniikkiin huomatessaan olevansa kiristysohjelmahyökkäyksen kohteena. Siksi on tärkeää, että jokainen yrityksen työntekijä tietää tarkalleen, mitä tehdä kiristysohjelmahyökkäyksen sattuessa – jopa korkean tason työntekijät ja IT-johtajat. Kiristysohjelmahyökkäyksen sattuessa toteutettavan toimintasuunnitelman ei pitäisi olla vain osa ylimmän johdon tai IT-asiantuntijoiden liiketoiminnan jatkuvuussuunnitelmaa. Tarkat vinkit siitä kuinka toimia hyökkäyksen tapahtuessa, pitäisi olla näkyvillä ja ymmärrettynä jokaisessa toimistossa. Ne voivat olla yksinkertaisia, mutta tehokkaita. Esimerkiksi:
- Katkaise yhteys Internetiin ja sisäiseen verkkoon
- Yritä sammuttaa laite oikein tai soita välittömästi IT-tietoturvalle / IT-hallinnolle
Tietoturva- ja hallintohenkilöstön tulee jatkuvasti kouluttaa itseään kyberturvallisuuden ja hakkeroinnin viimeisimmän tiedon mukaisesti. Viimeisimpien blogiuutisten lukeminen ja kehityksessä mukana pysyminen sekä verkkojen että ohjelmistoratkaisujen porsaanreikien osalta tulisi olla vaatimus työntekijöille.
Mitä pitäisi tehdä, jos joutuu kiristysohjelman uhriksi?
Jos jostakin syystä kiristysohjelma pääsee puolustuslinjasi läpi, sinun tulee toimia seuraavien ohjeiden mukaan:
- Älä koskaan maksa lunnaita! Rikollisille maksaminen ei takaa, että saat tietosi takaisin. Monissa tapauksissa (ja erittäin todennäköisesti, jos kyseessä on ns. ”ranscam” tai tiedot pyyhkivä haittaohjelma) et saa tietojasi takaisin, joten lopputulos on, että olet ilman tietojasi ja lisäksi sinulla on paljon vähemmän rahaa!
- Älä yritä purkaa tietojen salausta itse. Joillakin tietokoneasiantuntijoilla voi olla kyky palauttaa kadonneet tiedot, mutta se on riskialtista – jos jokin menee pieleen, voit tuhota tietosi lopullisesti.
Tietojen palautus kiristysohjelmilta
Tietojen palautuksen asiantuntijan näkökulmasta jokainen kiristysohjelmatapaus on erilainen. Suuri ero ei ole ainoastaan siinä, kuinka kiristysohjelmistojen variantit salaavat tietoja ja leviävät verkon kautta, mutta myös siinä, miten ne kohdistuvat tiedontallennusjärjestelmien eri alueisiin.
Jotkut järjestelmät ja tietorakenteet ovat haastavampia ja vaativat enemmän aikaa palautumiseen kuin toiset. Koska jokainen tapaus on erilainen, on järkevää ottaa yhteyttä asiantuntijaan ja kysyä, onko sinun tietoihisi hyökännyt kiristyshaittaohjelma heille entuudestaan tuttu. He voivat neuvoa, kannattaako laite lähettää tietojen palautukseen ja ovatko he onnistuneet aikaisemmin samanlaisissa tapauksissa.
Viime vuosien iskut osoittavat, että kiristysohjelmat ovat edelleen vakava uhka sekä yksityishenkilöille että yrityksille. Siksi on syytä tarkistaa tietoturva, verkkokäytännöt, käyttäjien koulutus ja varmuuskopiointimenettelyt.
Varmuuskopioinnin kannalta suosittelemme, että tallennat liiketoimintakriittisten tietojen varmuuskopiot ulkoisiin tallennuslaitteisiin, joita et liitä verkkoon, esim. nauhoille. Sinun on myös testattava säännöllisesti varmuuskopioiden virheettömyys ja toimivuus.
Jos varmuuskopiosi eivät toimi tai ne joutuvat kiristysohjelmien uhriksi, on parasta ottaa yhteyttä asiantuntevaan tietojen palauttamisen palveluntarjoajaan. Tietojen palauttamisen asiantuntija voi yrittää palauttaa tietosi ongelmallisesta varmuuskopiosta tai löytää ratkaisun, jolla kiertää kiristysohjelmisto päästäkseen käsiksi varastettuihin tietoihin.