Haittaohjelmat - SecMeter

Sisältöön

Haittaohjelmat

Yritysturvallisuus > Kyberturvallisuus
Haittaohjelmien valmistaminen ja levittäminen on ollut rikos vuoden 1999 joulukuun alusta alkaen. Rikoslakiin lisättiin uusi, "vaaran aiheuttaminen tietojenkäsittelylle" -niminen rikos. Teosta voidaan tuomita sakkoa tai vankeutta enintään kaksi vuotta.

Rangaistavaa on tietojenkäsittelylle tai tieto- tai telejärjestelmän toiminnalle haittaa aiheuttamaan suunnitellun ohjelman valmistaminen, saataville asettaminen ja levittäminen.

Rangaistavuus edellyttää, että virusohjelma tai ohjelmakäskyjen sarja on suunniteltu aiheuttamaan vaaraa tai vahinkoa ja että valmistaminen tai levittäminen tapahtuu haitan aiheuttamistarkoituksessa.

Tietojärjestelmiin huomaamatta latautuvat vakoiluohjelmat (esim. keyloggerit) ja takaportit lisääntyivät räjähdysmäisesti. Samoin verkkopankkipankkijärjestelmien murtamiseen suunnatut troijalaiset. Hakkereiden suosimia hyökkäystyökaluja oli 2000-luvun toisella vuosikymmenellä mm. Metasploit ja BlackHole. Perinteisten tietokoneiden lisäksi erityisesti matkapuhelinalustat mm. Android ovat haittaohjelmien uusia kasvavia kohdejärjestelmiä.

Erään tutkimuksen mukaan noin 94 % haitalliseen tietoliikenteeseen liittyvistä havainnoista tulee yrityksen tietoon ulkopuolisen tahon toimesta. Ainoastaan 6 % havainnoista organisaatio tekee itse. Haitallinen tietoliikenne on jatkunut tyypillisesti yli vuoden (416 päivää) ennen kuin tilanne havaitaan.

Https- yhteyden kautta haittaohjelmia
Salattujen tietoliikenneyhteyksien käyttö on yleistynyt verkkopalveluille asetettujen kiristyneiden tietoturvavaatimusten myötä. Salattu verkkoyhteys tarjoaa myös haittaohjelmien levittäjille ja tietovarkaille potentiaalisia operatiivisia mahdollisuuksia mm. murrettujen palvelimien ja väärennettyjen sertifikaattien avulla.

Salattu verkkoliikenne kulkee verkkokomponenttien läpi pääsääntöisesti analysoimatta, jolloin verkko-operaattorit ja yritykset eivät pysty havaitsemaan liikenteestä mahdollisia haittaohjelmia. Näin aiemmin tuntemattomille haittaohjelmille tarjoutuu avoin reitti asentua huomaamattomasti käyttäjän työasemaan.

Mikäli yritykseen tulevaa ja yrityksestä lähtevää salattua liikennettä ei haluta itse keskitetysti analysoida on mahdollista ohjata liikenne ulkopuolisen palveluntarjoajan analysoitavaksi tai lisätä sisäverkon haittaohjelmasuojauksen syvyyttä ulottamalla käyttäjätasolle reaaliaikaiset IDS (Intrusion Detection System) ja IPS-järjestelmät (Instrusion Prevention Systems), jotka hälyttävät automaattisesti poikkeavasta toiminnasta.

Salattujen yhteyksien analysoinnin ulkopuolelle on mahdollista jättää yleisesti luotetut verkkopalvelut, kuten esimerkiksi luotettavat verkkokaupat, terveydenhuolto-, pankki- ja viranomaispalvelut. On myös syytä estää yhteydet kaikkiin yrityksen asiattomiksi määrittelemiin verkkopalveluihin sekä harkittava uudelleen julkisten sähköpostipalvelujen ja sosiaalisen median aiheuttamia riskejä yrityksen tietojärjestelmän eheydelle ja luottamuksellisuudelle.

Esimerkkejä haitallisesta liikenteestä
Angler-niminen haittaohjelma oli https-yhteyden kautta tietokoneeseen latautuva murtotyökalu, jonka avulla oli mahdollista ladata työasemaan mm. käyttäjän tiedostot salakirjoittavia ja lunnaita vaativia kiristysohjelmia (ransomware).

Emolet (Trojan:Win32/Emotet.C) kykeni vakoilemaan https-yhteyden kautta lähetettyjen pankkiyhteyksien kirjautumistiedot nuuhkimalla kahdeksaa ohjelmointirajapintaa. Suomalaisten pankkien asiakkaat olivat turvassa Emoletilta. Haittaohjelmaa levitettiin sähköpostiviesteihin liitettyjen linkin avulla.

Haittaohjelmien kokonaismäärä
Talousrikosten toteuttamiseen tarvittavien haittaohjelmien kohdalla tekninen evoluutio ja lukumääräinen kasvu jatkui voimakkaana. Haittaohjelmien kokonaismäärää on nykyisin vaikea luotettavasti arvioida. Eri lähteiden näkemykset haittaohjelmien lukumäärien osalta poikkeavat toisistaan. Lukuja voidaan pitää kuitenkin suuntaa antavinakin huolestuttavina. Eräs tietoturvayhtiö totesi, että he eivät enää nykyisin laske lukumääriä.

    • Vuonna 2007 arvioitiin olevan yli 500 000 haittaohjelmaa. Lähde: (Tietokone 1/2009)
    • Vuonna 2008 internetissä havaittiin erilaisia haittaohjelmia noin 1.1 miljoonaa. Lähde: (Tietokone 1/2009)
    • PandaLabs kertoi analysoineensa vuonna 2008 jopa 22 000 uutta uhkaa päivittäin ja havainneensa vuoden 2008 aikana noin 15 miljoonaa haittaohjelmauhkaa.
    • Vuonna 2009 tietoturvayhtiö Panda Security löysi uusia haittaohjelmia 25 miljoonaa kappaletta.
    • Tietoturvayhtiö F-Securen arvion mukaan haittaohjelmia arvioitiin olevan vuonna 2011 noin 60 miljoonaa. Jokainen vuorokausi syntyi noin 40 000 uutta haittaohjelmaa ja määrällisen kasvun arvioitiin jatkuvan myös tulevaisuudessa.

Alcatel Lucentin tutkimusten mukaan kaikenlaisten tietoverkkojen turvallisuusuhkien määrä kasvoi rajusti vuoden 2014 ensimmäisellä puoliskolla. Sen seurauksena laitteiden omistajien riski joutua vakoilun, henkilötietoja varastamisen, kiristyksen tai jättilaskutuksen kohteeksi lisääntyi huomattavasti.

Alcatel-Lucentin Kindsight Security –laboratorio kertoi, että mobiililaitteiden haittaohjelmien infektioiden määrä kasvoi 17 prosenttia vuoden 2014 kuuden ensimmäisen kuukauden aikana. Laboratorion mukaan erilaisten vakoiluohjelmien ja rahankiristysyritysten ujuttaminen käyttäjien laitteisiin onnistuu nykyään parhaiten juuri ladattavien sovellusten avulla. Nyt niiden määrä on lähes kaksinkertainen vuoden 2013 tasoon verrattuna. Haittaohjelmatartuntojen osalta luvut kiinteissä verkoissa kasvoivat 18 prosenttia kesäkuun 2014 loppuun mennessä.

Kindsight Security Labsin arvion mukaan 15 miljoonaa (11,3 milj.) 2013) mobiililaitetta oli saanut vuonna 2014 haittaohjelmatartunnan. Määrä oli kasvanut vajaalla neljällä miljoonalla vuoden 2013 lopusta. Neljäkymmentä prosenttia mobiililaitteiden haittaohjelmista oli peräisin Windows-läppäreistä, jotka oli yhdistetty puhelimeen tai kytketty suoraan matkapuhelimeen USB-tikulla tai MiFi-yhteydellä. Lähde: (cellular-news.com, 9th Sep 2014 More Apps are Spying on Us, Stealing Personal Information and Pirating Data Minutes, 9.9.2014)

Adware
Adware on yleisnimitys mainosbannereita käyttöliittymissä näyttävistä ohjelmista. Adware-ohjelma voi olla hyökkäysstrategian osa. Itsenäisenä ohjelmana Adware ei yleensä ole vahingollinen. Tosin useat adware-ohjelmat keräävät käyttäjän suorittamista operaatioista tietoja ja lähettävät ne verkkoon kolmannelle osapuolelle. Joidenkin ilmaisohjelmien mukana asentuu myös adware-ohjelma, joka näyttää käyttäjälle mainoksia. Maksamalla pienen lisenssimaksun saa ohjelmaversion, jossa mainoksia ei näytetä.
Keylogger (näppäilytallennin)
Keylogger on käyttäjän tietokoneella suorittamien operaatioiden vakoilemiseen käytettävä ohjelma, joka tallentaa kaikki näppäinpainallukset tiedostoon ja eräissä tapauksissa voi lähettää tiedot suoraan vastaanottajalle esimerkiksi sähköpostitse, jolloin käyttäjätunnukset ja salasanat joutuvat vääriin käsiin käyttäjän tietämättä.

Vaikka keylogger-ohjelmia käytetäänkin yleensä nimenomaan käyttäjätunnusten ja salasanojen kaappaamiseen, ne pystyvät tallentamaan kaikki käyttäjän suorittamat näppäimistön painallukset sekä tallentamaan tietokoneen kuvaruutukopioita. Tietokoneeseen asennettuna ohjelma piilottaa itsensä niin, ettei sitä voi tavanomaisin keinoin etsimällä havaita.

Keylogger voi olla myös itsenäinen fyysinen laite esimerkiksi ”palikka” tai modifioitu näppäimistö. Valmiita keylogger ominaisuudella varustettuja näppäimistöjä on markkinoilla useita eri malleja. Näppäimistöissä keylogger ”palikka” on asennettu näppäimistön kuoren sisään, jolloin sitä on mahdotonta päällisin puolin havaita, toisin kuin näppäimistön johtoon liitettävä keylogger ”palikka”.

Laite voi tallentaa muistiinsa jopa vuoden ajalta (2MB) kaikki tietokoneella kirjoitetut tekstit. Laite suojaa tallennetut tiedot salasanalla, jonka yleensä tuntee vain laitteen asentaja. Ulkoinen palikka on helppo tunnistaa ja havaita. Esimerkiksi KeyShark ”palikkaa” myytiin (2008) suomalaisessa verkkokaupassa hintaan 65 euroa. Laitteita on myyty Suomessa jo kymmeniä ja on oletettavaa, että niitä myös käytetään. Huuto.net verkkopalvelussa oli myytävänä KeyShark ”palikka”, josta pyydettiin 40 euroa (kohde numero 79552016).

Huijaussivustot (tietojen kalastelusivustot) ovat myös eräänlaisia kohdennettuja keyloggereita, joissa käyttäjä ohjataan ensin tietylle sivustolle ja pyydetään näppäilemään lomakkeelle esimerkiksi pankkitunnuksensa, jotka keylogger tallentaa rikollisten hyödynnettäviksi.

Kiristyshaittaohjelmat (ransomware)
Rikollisten käyttämien kiristyshaittaohjelmien (esim. selaimen lukitus) ansaintalogiikka perustuu tietokoneen lukitukseen ja lupaukseen vapauttaa lukitus korvausta vastaan. Erityisen vaaralliseksi koettiin yrityksille suunnattu REvil -niminen kiristyshaittaohjelma, joka tunnettiin myös nimellä Sodinokibi. Ohjelmasta tehtiin ensimmäinen havainto 17.5.2019. Ohjelmaa hyödynsi mm. Gold Southfield -nimellä tunnettu rikollisryhmä. Yritysten tietokoneisiin ohjelmaa levitettiin mm. roskapostikampanjoiden avulla. Ohjelma salakirjoitti tietokoneen tiedostot ja tarjosi tiedostojen palauttamiseen tarvittavan salauksen purkuavaimen maksua vastaan.

Kaupallisten (ransomware-as-a-service) kiristyshaittaohjelmien tekijät saavat yleensä maksuksi osuuden haittaohjelman kiristystuotoista. Rikoksen uhreilta vaadittavat korvaussummat voivat vaihdella huomattavsti sadasta eurosta kymmeniin tuhansiin euroihin. Korvauksen maksaminen ei kuitenkaan vapauta lukitusta varmuudella, vaan voi ladata lisää haittaohjelmia koneeseen ja johtaa maksun suorittajan maksukorttitietojen kopiointiin. Suoran tilisiirron lisäksi maksua voidaan vaatia yrityksiltä Bitcoineissa tai yksityishenkilötä esimerkiksi ostamalla R-kioskista paysafecard-kortti ja syöttämällä PIN-koodi näytöllä olevaan koodikenttään. Seurauksena on, että rikollinen tyhjentää paysafecard-kortin saldon.

Kiristyshaittaohjelmilta suojautumiseen pätevät yleiset neuvot varovaisuudesta ja tietokoneen ohjelmistopäivitysten ajantasaisuudesta.Ainoa varma tapa toipua hyökkäyksestä on poistaa vanha tietokone käytöstä ja palauttaa tiedostot puhtailta varmuuskopioilta uuteen tietokoneeseen.

Looginen pommi
Loogisiksi pommeiksi kutsutaan haittaohjelmia, jotka piileksivät tietojärjestelmässä käyttäjän tietämättä ja aktivoituvat ennalta suunniteltuna ajankohtana, suorittaen hyökkääjän ohjelmoimat operaatiot.

Mato
Madot eivät tarvitse virusten tapaan erillistä isäntäohjelmaa ja leviävät automaattisesti ilman käyttäjän suorittamia operaatioita. Leviämiseen madot käyttävät pääsääntöisesti sähköpostia ja voivat esimerkiksi tuhota tiedostoja. Mato voi tarjota myös ulkopuolisille mahdollisuuden ottaa kone haltuun verkon yli. Matojen haittana on myös niiden aiheuttama verkkokuoma.

Malware
Yleisnimitys ohjelmista, joiden tarkoituksena on tuottaa haittaa tai vahinkoa.

Rootkit
Rootkit on tekniikka, jonka avulla haittaohjelma piilotetaan etsintä- ja torjuntaohjelmilta. Rootkit tekniikkaa sisältäviä haittaohjelmia kutsutaan rootkit-haittaohjelmiksi. Se pystyy piilottamaan tai hävittämään itsensä tuhoamalla kaikki jäljet tartunnasta ja piilottamaan omat haitalliset prosessit ja verkkoyhteydet. Rootkit-haittaohjelman toinen keskeinen ominnallisuus on myös etähallintamahdollisuus.

Spyware
Spyware haittaohjelman tarkoituksena on useimmiten urkinta. Urkitut tiedot lähetetään verkkoon käyttäjän tietämättä. Spyware-haittaohjelmat rikkovat tietojärjestelmän luottamuksellisuuden, mutta eivät yleensä aiheuta muuta vahinkoa.

Trackware
Trackware on yleisnimitys ohjelmista, jotka osaavat seurata, analysoida ja tallentaa käyttäjien selainkäyttäytymistä. Ohjelmat eivät aiheuta tietojenkäsittelylle suurta vaaraa, mutta vaarantavat yksityisyyden suojan.
Troijalainen (Troijan hevonen)
Troijalaisen tehtävänä on usein avata hyökkääjälle mahdollisuus tietojärjestelmän etähallintaan. Troijan hevoseksi kutsutaan haittaohjelmaa, joka ei monista itseään, kuten virus. Troijalainen ei myöskään leviä kuten virus tai mato, vaan edellyttää käyttäjältä jonkin operaation suorittamista. Levitäkseen on levittäjän uskoteltava troijalaisen olevan muu kuin haittaohjelma, jotta käyttäjä suorittaisi troijalaisen asentumiseen tarvittavan operaation.

Virus
Tietokoneviruksella tarkoitetaan sellaista tietokoneohjelmaa tai ohjelmakäskyjen sarjaa, joka on tarkoitettu haittamaan tietojenkäsittelyä tai tieto- tai telejärjestelmän toimintaa taikka vahingoittamaan järjestelmän sisältämiä tietoja tai ohjelmistoja. Termi tietokonevirus (computer virus) syntyi 1983 Etelä-Kalifornian yliopistossa, jossa tietokonevirukseksi kutsuttiin Fred Cohen –nimisen tietotekniikan opiskelijan kirjoittamaa troijalaista.

Ensimmäisenä tietokoneviruksena on kuitenkin pidetty jo 1970-luvulta peräisin olevaa The Creeper ohjelmaa, joka kykeni leviämään ARPANET -modeemiverkon välityksellä USA:n armeijan käyttämissä Tenex-käyttöjärjestelmissä. Ensimmäinen PC- tietokonevirus havaittiin vuonna 1983. Virus levitti itseään diskettien välityksellä Apple II:n käyttöjärjestelmillä varustetuissa tietokoneissa. Tätä edelsi vuonna 1981 Pittsburghin yliopiston opiskelija Richard Skrentan laatima käynnistyssektorivirus nimeltään Elk Cloner.

Käynnistyslohkovirukset saastuttivat levykkeiden ja kiintolevyjen käynnistyslohkot korvaamalla alkuperäisen käynnistyslohkon koodin omalla koodilla. Tartuntavaara oli aina olemassa, jos saastunut levyke oli levykeasemassa tietokonetta käynnistettäessä. Tiedostovirukset aktivoituvat suoritettavien (.exe .com) ohjelmatiedostojen avulla ja liittävät oman haitallisen ohjelmakoodinsa ohjelmatiedostoon. Tiedostovirukset leviävät vain suoritettaessa saastuneita ohjelmatiedostoja. Nykyisin virukset käyttävät leviämisessä hyväkseen tietojärjestelmien tietoturva-aukkoja.

Menestyäkseen viruksen on toimittava kaikkein yleisimmin käytetyissä tietojärjestelmissä, käytettävä tehokasta levitystapaa ja suojauduttava mahdollisimman hyvin virustorjuntaohjelmistoilta. Viruksen menestysvaatimukset ovat johtaneet mm. piilovirusten, mutanttivirusten, multipartiittivirusten ja retrovirusten kehittämiseen.

  • Piilovirus väärentää tietoja, joita ohjelma lukee tietokoneen levyalueilta. Piilovirus kykenee harhauttamaan myös tarkistussummalaskentaa ja kykenee kirjoittamaan itsestään kopion toiseen paikkaan sekä palauttaa saastunut tiedosto alkuperäiseksi ottamansa varmuuskopion avulla.
  • Mutantti eli polymorfinen virus muuttaa omaa viruskoodiaan ja useimmiten myös toimintatapaansa, tuottaen itsestään lukuisia eri versioita.
  • Multipartiittivirus on eri virustyyppien yhdistelmä. Virus voi saastuttaa useita eri kohteita, kuten tiedostoja ja käynnistyslohkoja.
  • Retrovirus valitsee kohteekseen virustentorjuntaohjelman manipuloidakseen sitä. Virus voi myös salakirjoittaa itsensä ja olla erittäin polymorfinen.
KYBERHYÖKKÄYS KOKEMÄEN KAUPUNGIN VERKKOON
Kyberrikollinen onnistui murtautumaan Kokemäen kaupungin sisäiseen verkkoon ja ujuttamaan tietojärjestelmään kiristyshaittaohjelman. Kiristyshaittaohjelma salakirjoitti osan tietojärjestelmien sisältämästä datasta, jonka johdosta tieto ei ollut käytettävissä.

Kaupungin työntekijät havaitsivat kyberhyökkäyksen maanantaina 29.7.2019. Kyberhyökkäyksen alkuvaiheen tilannekuvaa leimasi epätietoisuus. Kaupungin vastuuhenkilöillä ei ollut selkeää käsitystä hyökkäyksen laajuudesta ja oliko kriittisiä tietoja vuotanut ulkopuolisten käsiin. Kokemäen kaupungin hallintojohtajan mukaan epävarmuus oli huolestuttavaa. Hyökkääjällä on ollut pääsy myös kriittiseenkin tietoon.

Kyberhyökkäyksen johdosta kaupunki joutui organisoimaan palvelutoimintaansa uudelleen mm. ottamalla käyttöön manuaalisia palveluprosesseja. Kaupungin sähköposti ja maksuliikenne olivat kokonaan pois käytöstä.
Kokemäen kaupunki teki mahdollisesta tietosuojaloukkauksesta ilmoituksen tietosuojavaltuutetun toimistolle ja tutkintapyynnön Lounais-Suomen poliisille. Kyberturvallisuuskeskus osallistui myös tapauksen selvittelyyn. Lähteet: (kokemaki.fi tiedote 30.7.2019, yle.fi 30.7.2019, mtvuutiset.fi 30.7.2019)

KYBERHYÖKKÄYS LAHDEN KAUPUNGIN VERKKOON
Lahden kaupungin verkkoon ja työasemiin kohdistettiin kyberhyökkäys. Tapahtuneesta tehtiin tutkintapyyntö poliisille tiistaina 11.6.2019. Hyökkäys kuormitti Lahden kaupungin verkkoa ja haittaohjelma ohjelma levisi ainakin noin tuhanteen työasemaan. Työasemien virustorjuntaohjelma tunnisti haittaohjelman ja eristi sen tartunnan saaneissa työasemissa.

Operaattorin palomuureissa oli myös havaittu haittaohjelmaan liittyviä yhteysavauksia ja verkkoliikennettä, joka onnistuttiin estämään. Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän verkkojen välinen yhteys katkaistiin heti, kun tilanne havaittiin. Yhteyksien katkaisu aiheutti viiveitä hyvinvointiyhtymän asiakaspalvelussa. Hyökkäyksen seurauksena mm. potilaskertomusten tiedot eivät näkyneet, eivätkä laboratoriovastaukset ja röntgenkuvat olleet käytettävissä, sähköiset reseptit eivät toimineet, eikä terveysasemilla saatu otettua verikokeita.

Lahden kaupunki teki tapahtumasta tutkintapyynnön poliisille. Asiantuntijat ryhtyivät selvittämään hyökkäystä yhteistyössä viranomaisten kanssa hyökkäyksen alkuperää. Keskusrikospoliisin tutkintanimike oli törkeä tietojärjestelmän häirintä. Keskusrikospoliisin mukaan Laden kaupungin työasemiin asentunut haittaohjelma oli tyypiltään troijalainen. Lähteet: (lahti.fi ajankohtaista 12.6.2019, phhyky.fi 12.6.2019, poliisi.fi tiedotteet 12.6.2019, 9.7.2019, yle.fi 12.6.2019, 14.6.2019)

PETYA-KIRISTYSHAITTAOHJELMA
Windows-järjestelmien haavoittuvuuksia hyödyntävä Petya-kiristyshaittaohjelma (NotPetya, Petrwrap, ExPetr) levisi 27.6.2017 yritysten sisäisissä verkoissa Windows-työasemiin. Ukrainan yleisin kirjanpito-ohjelma on M.E.Doc-ohjelma. Sitä käyttää noin 80 prosenttia Ukrainan yrityksistä. Kirjanpito-ohjelmistoa edustava Intellect Service -yhtiö myönsi, että ohjelmistossa oli takaovi, joka avasi mahdollisuuden käyttää ohjelmaa kyberhyökkäyksen alustana. Alkuperäinen tartuntalähde oli ilmeisesti kyseinen M.E.Doc kirjanpito-ohjelmisto. Lähde: (yle.fi 5.7.2017)

Haittaohjelmasta tehtiin havaintoja eri puolilta maailmaa mm. Ukrainassa, Yhdistyneissä kuningaskunnissa, Espanjassa, Alankomaissa, Norjassa, Tanskassa, Ranskassa, Venäjällä, Yhdysvalloissa ja Australiassa. Petya perustuu edeltäjiensä tavoin NSA:sta vuotaneisiin haittaohjelmistoihin. Tartunta käyttää hyväkseen Microsoftin Windows-käyttöjärjestelmän haavoittuvuutta EternalBlue (Microsoftin tietoturvatiedote MS17-010). EternalBlue exploit on osa Shadow Brokersin julkaisemaa FuzzBunch-työkalua. Tartunnan jälkeen kiristyshaittaohjelma voi levitä yrityksen sisäverkossa useilla eri tavoilla.

Petya korvaa kiintolevyjen MBR-käynnistyslohkot uudella koodilla, joka käynnistää Windows-käyttöjärjestelmän käynnistyslataimen, jolloin käyttäjälle esitetään 300 dollarin lunnasvaatimus Bitcoin-verkkorahassa. Tämän jälkeen NTFS-levyosion käyttämät MTF-tiedostotaulukot salataan. Lähteet: (theguardian.com 27.6.2017, telegraph.co.uk 27.6.2017, fortinet.com 27.6.2017)

Petya-haittaohjelma oli todennäköisesti Venäjän Ukrainaa vastaan suuntaama kyberisku, joka oli naamioitu kiristyshaittaohjelmaksi. Petyan tarkoituksena oli aiheuttaa yksinomaan tuhoa Ukrainassa, mutta se pääsi karkaamaan käsistä yli 60 maahan. Kyberiskun toteuttajan uskotaan olleen BlackEnergy-hakkeriryhmä, joka on tehnyt useita kyberiskuja Ukrainaan. Lähde: (hs.fi 2.7.2017)

WANNACRY-KIRISTYSHAITTAOHJELMA LEVISI MAAILMALLA NOPEASTI
Perjantaina 12.5.2017 WannaCry-kiristyshaittaohjelma (WCry, WanaCrypt, WanaCrypt0r) levisi ennen näkemättömän nopeasti useiden eri organisaatioiden Windows-tietokoneisiin. Ainakin 126 534 päivittämättömän tietokoneen raportoitiin saaneen tartunnan. Sunnuntaina 14.5.2017 Europol kertoi haittaohjelman levinneen jo yli 200 000 tietokoneeseen noin 150 eri maassa. Suurin osa kohteista oli yritysten tietokoneita. Suomessa haittaohjelma saastutti vain joitakin kymmeniä tietokoneita, eikä päässyt leviämään yhtä laajasti, kuin monissa muissa maissa.

Haittaohjelman saastuttamat tietokoneet lukittuivat, ja näytölle ilmaantui kiristysviesti. Ohjelma vaati 300 dollarin suuruista maksua bitcoin-verkkovaluutalla. Lunnasvaatimus kasvoi myöhemmin 600 dollariin. Ellei maksua suoritettu tunnin kuluessa kaikki salakirjoittamalla lukitut tiedostot uhattiin tuhota. Europolin mukaan lunnasmaksuja oli suoritettu yllättävän vähän. Suurin osa tietokoneiden käyttäjistä ei suostunut maksamaan.

Microsoftin lakiasiainjohtaja ja varatoimitusjohtaja Brad Smithin mukaan hyökkäyksessä käytetty WannaCry-kiristysohjelma perustui NSA:lta varastettuihin tietoihin. Hänen mielestä hyökkäys ei jättänyt mitään arvailujen varaan ja hän vaati tiedusteluviranomaisia kantamaan vastuunsa aiheuttamistaan vahingoista. Hän myös kohdisti krittiikkiä tietojärjestelmistä vastaaviin henkilöihin, jotka eivät ajoissa huolehdi järjestelmien tietoturvapäivityksistä.

Microsoft oli julkaissut jo aiemmin ennen hyökkäystä haavoittuvuuden poistaneen tietoturvapäivityksen, mutta päivittäminen oli laiminlyöty. Mitä tämä kertoo yritysten tietoturvakulttuurista? Lähteet: (kc.mcafee.com Technical Articles ID: KB89335) yle.fi 13.5.2017, 14.5.2017, hs.fi 13.5.2017, blogs.microsoft.com 14.5.2017 Brad Smith, cnbc.com 15.5.2017)

Tutkijat olivat löytäneet teknisiä vihjeitä, joiden perusteella WannaCry-kiristyshaittaohjelma voitiin yhdistää Pohjois-Koreaan mm. Lazarus-konsernin käyttämän ohjelman koodien perusteella, joka tiedettiin Pohjois-Korean hakkeroimaksi,

Yhdysvaltain hallitus syytti virallisesti Pohjois-Koreaa WannaCry-kiristyshaittaohjelman aiheuttamista vahingoista. Yhdysvaltojen mukaan Pohjois-Korean hallinto oli suoraan vastuussa kaaoksesta. Pohjois-Korean YK:n lähettiläs vaati Yhdysvaltoja todistamaan syytteet, joiden mukaan Pohjois-Korea olisi vastuussa WannaCry-kiristysohjelmasta. Lähettilään mukaan kyseessä oli Yhdysvaltojen "perustelematon provokaatio", jonka tarkoituksena oli lisätä jännitteitä ja vastakkainasettelun ilmapiiriä.

Lopulta WannaCry-kiristyshaittaohjelma ehti lukita yli 300 000 tietokonetta 150 eri maassa, sairaaloissa, kouluissa, yrityksissä ja kodeissa. Vaikka hyökkäyksen uhrit maksoivat vaaditut lunnaat, maksaminen ei avannut heidän tietokoneitaan. Lähteet: (telegraph.co.uk 16.5.2017, techcrunch.com 18.12.2017, cbsnews.com 26.12.2017)

BLACKSHADES-HAITTAOHJELMAT POLIISIOPERAATION KOHTEINA
Suomessa yhdeksän poliisilaitosta osallistui laajaan kansainväliseen poliisioperaatioon, joka kohdistui BlackShades-haittaohjelman internetistä ostaneisiin henkilöihin. Ohjelman hankkineita epäiltiin vaaran aiheuttamisesta tietojenkäsittelylle. Ohjelma oli ollut verkkomyynnissä vuodesta 2010 alkaen.

Poliisi suoritti Suomessa lähes kolmekymmentä kotietsintää. Esitutkintaan liittyen poliisi otti myös kahdeksan henkilöä kiinni. Tietokoneita ja tallennusvälineitä poliisi otti takavarikkoon lähes 90 kappaletta. Operaatiota koordinoi keskusrikospoliisi. Operaatioon osallistuivat Oulun, Itä-Suomen, Lounais-Suomen, Helsingin, Sisä-Suomen, Länsi-Uudenmaan, Pohjanmaan, Hämeen ja Itä-Uudenmaan poliisilaitokset.

BlackShades-haittaohjelman avulla on mahdollista saada kohteena oleva tietokone etähallintaan. Hyökkääjä voi tällöin saada haltuunsa mm. tiedostoja ja salasanoja, käyttää tietokoneen web-kameraa ja mikrofonia käyttäjän tietämättä sekä nauhoittaa näppäimistön painalluksia. Lähteet: (ksml.fi 19.5.2014, aamulehti.fi 19.5.2014, iltasanomat.fi 20.5.2014)

VERKKOPANKKIASIAKKAIDEN TILEILTÄ VIETY RAHAA
Suomalaisten OP, Nordea ja Sampo pankkien verkkopankkiasiakkaiden tileiltä on onnistuttu haittaohjelmien avulla siirtämään rahaa ulkomaisille pankkitileille lähes 20 000 euroa. Keskusrikospoliisin mukaan haittaohjelmia löytyy edelleen verkkopankkiasiakkaiden tietokoneista.

Kyse ei ole verkkopankkijärjestelmään kohdistuneesta hyökkäyksestä, vaan verkkopankkiasiakkaan oman tietokoneen haittaohjelmatartunnasta, josta seuraa järjestelmän eheyden ja luottamuksellisuuden menetys Haittaohjelma voi ottaa tietokoneen täydelliseen kontrolliin, jos tietokoneessa on ominaisuuksiltaan puutteellinen tai päivittämätön suojausohjelmisto tai se puuttuu kokonaan. Virustorjunta ei yksinomaan riitä, vaan tarvitaan muitakin turvaominaisuuksia.

Todennäköisesti Venäjältä suuntautuneen järjestäytyneen rikollisuuden uhreiksi on Suomessa joutunut noin 20 verkkopankkiasiakasta ja määrä saattaa edelleen kasvaa. Haittaohjelma aktivoituu asiakkaan kirjautuessa verkkopankkiin ja käynnistää rinnakkaisistunnon (varjoistunnon), jonka aikana se suorittaa tilillä transaktioita asiakkaan tietämättä.

KRP uskoo, että ainakin viimeisin haittaohjelmahyökkäys on tehty ulkomailta, mahdollisesti Venäjältä. Vastaavia haittaohjelmahyökkäyksiä on ilmennyt ulkomailla jo aiemmin. Lähteet: (yle.fi 20.1.2012, YLE uutislähetykset 20.1.2012 kello 17.00 ja 18.00, mtv3.fi 20.1.2012, MTV3 uutiset 20.1.2012 kello 19.00, op.fi tiedote 20.1.2012, nordea.fi tiedote 20.1.2012)

NORDEAN VERKKOPANKKIASIAKKAAT RIKOLLISTEN UHREINA
Nordean verkkopankkiasiakkaita petkuttava haittaohjelma havaittiin illalla 14.1.2010. Nordea varoitti verkkopankkiasiakkaitaan 15.1.2010 haittaohjelmasta, joka ohjaa asiakkaan varoja väärään paikkaan. Nordean verkkopankin volyymi on noin 300 000 asiointikertaa vuorokaudessa.

Nordea ei kertonut heti kuinka useasta tapauksesta tai kuinka suurista summista oli yksittäistapauksissa kysymys, eikä myöskään sitä, mihin rahat ohjautuivat. Rikospoliisi ryhtyi tutkimaan tapausta. Myöhemmin Nordean riskienhallintajohtaja kertoi Iltalehden artikkelissa, että 15 Nordean asiakasta oli menettänyt yhteensä 50 000 euroa, eli keskimäärin noin 3300 euroa per asiakas. Nordea lupasi korvata asiakkaiden menetykset.

Haittaohjelma havaittiin vain Suomessa. Haittaohjelman tietokoneelleen saaneille asiakkaille verkkopankin sisäänkirjautumissivu muuttui englanninkieliseksi. Sivun yläreunassa oli englanninkielinen huomautus, jossa ilmoitettiin 24 tuntia kestävistä huoltotoimenpiteistä, jonka johdosta kaikki palvelut eivät toimi. Sivulla pyydetyt pankkitunnukset ohjautuivat haittaohjelman toimesta rikollisten käsiin. Lähteet: (MTV3.fi 15.1.2010, HS.fi 16.1.2010, iltalehti.fi 16.1.2010, 18.1.2010)

KEYLOGGER "PALIKKA" LÖYTYI TAMPEREEN TEKNILLISESTÄ YLIOPISTOSTA
Tampereen teknillisen yliopiston mikroluokasta löytyi tietokoneeseen asennettu keylogger. Laite löytyi mikroluokan vuosihuollossa 29.5.2008. Julkisuuteen tullut tapaus on laatuaan ensimmäinen Suomessa, mutta ei varmasti ainoa. Tapaus annettiin poliisin tutkittavaksi. Lähteet: (HS.fi 11.6.2008, Ilta-Sanomat 11.6.2008, Digitoday 11.6.2008, It-viikko 11.6.2008, Kainuun sanomat 11.6.2008, Lapin Kansa 11.6.2008)

VAARAN AIHEUTTAMINEN TIETOJENKÄSITTELYLLE
Porin käräjäoikeus käsitteli 3.6.2008 juttua, jossa syytettynä oli 19-vuotias porilainen nuorimies. Miestä syytettiin vaaran aiheuttamisesta tietojenkäsittelylle. Mies oli myöntänyt esitutkinnassa koodanneensa kymmeniä tietokoneen haittaohjelmia. Valmiit haittaohjelmat välitettiin englantilaiselle miehelle edelleen levitettäviksi. Osana jutun tutkintaa Britannian poliisi pidätti 63-vuotiaan englantilaisen ja 28-vuotiaan skotlantilaisen miehen.

Haittaohjelmat onnistuivat leviämään arvioiden mukaan miljooniin tietokoneisiin ympäri maailmaa. Kyse oli nk. troijalaisista, jotka mahdollistivat rikollisille tietokoneiden kaappaamisen omaan käyttöön. Haittaohjelmien levitystä hoitanut ryhmä tunnettiin nimellä m00p. Käräjäoikeus tuomitsi syytetylle seitsemän kuukauden ehdottoman vankeusrangaistuksen, joka muunnettiin 180 tunnin yhdyskuntapalveluksi. Lähteet: (Tietoviikko 28.6.2008, YLE.fi 3.6.2008, HS.fi 3.6.2008)

ELÄINAKTIVISTIT TUKKIVAT TURKISTUOTTAJIEN KOTISIVUT
Ryhmä eläinaktivisteja (Oikeutta eläimille -internetjaosto) tukki Turkistuottajat Oy:n kotisivut kuormittamalla palvelua ohjelmilla, jotka toistivat jatkuvasti IP -osoitteen päivityspyyntöjä. Turkistuottajat Oy välittää kotisivullaan huutokauppatietoja asiakkailleen ja turkistarhaajille. Kuormituksen johdosta kotisivut eivät olleet käytettävissä kello 11-14 välisenä aikana. Lähteet: (Helsingin Sanomat 29.3.1999, MTV3 uutiset 29.3.1999)

MAKROVIRUS KIUSASI FINNAIRIA
Win95/CIH -makrovirus lamautti joitakin Finnairin työasemia. Virus oli mahdollista havaita vain uusimmilla virustorjuntaohjelmistojen versioilla. Vaikka Finnairissa oltiin varauduttu virusten varalle, tuli tilanne yllätyksenä. Finnair ilmoitti pyrkivänsä selvittämään mistä virus tuli. Lähde: (Helsingin Sanomat 26.11 ja 27.11.1998)

TIETOLIIKENTEEN HÄIRINTÄ
Kuusitoistavuotiaan koulupojan lähettämä roskapostitulva aiheutti ylimääräistä vaivaa ja harmia. Alkuperäisestä sanomasta monistui yhdeksäntuhatta kopiota, jonka seurauksena internet-palveluita tarjoavan yhtiön tietokone kaatui.
Poliisi arveli pojan syyllistyneen rikoslaissa tarkoitettuun "tietoliikenteen häirintä" -nimikkeen mukaiseen tekoon, jonka enimmäisrangaistus on kaksi vuotta vankeutta. Tapaus on ensimmäinen Suomessa havaittu "roskapostihyökkäys". Lähde: (Iltalehti 16.9.1997)

VIESTINTÄTOIMISTO PROMOTIVA LEVITTI LEHDISTÖMATERIAALIN MUKANA TIETOKONEVIRUSTA
Viestintätoimiston Microsoftin uutuustuotteesta kertova lehdistötiedote sisälsi "Wuzzy" -makroviruksen. Yhtiö pahoitteli tapahtunutta ja lähetti viruksen tuhoamisohjeet. Lehdistötiedote lähetettiin sähköpostiviestinä lukuisille toimittajille. Sähköpostiviestin liitetiedosto sisälsi lisämateriaalia sekä kyseisen "Wuzzy" -makroviruksen. Microsoft ei osannut kertoa mistä virus oli päässyt liitetiedostoon. Lähde: (Ilta-Sanomat 29.1.1997)

RAKENNUSYHTIO SKANSKA OY SAI MAKROVIRUKSEN VENÄJÄLTÄ
Rakennusyhtiö Skanska Oy sai "Demon" -makroviruksen Venäjältä ja ehti jaella sitä yhteistyökumppaneilleen sähköpostin liitetiedostoissa. "Demon" -makrovirus leviää Word -tekstitiedostojen mukana, mutta ei tuhoa tiedostoja. Virus aiheuttaa ilmoituksen "Winword hidden Demon is happy to see his master!!! Great Day!!!". Skanskan vanhat virustorjuntaohjelmat eivät tunnistaneet virusta. Makrovirusten leviämisen ehkäisee tehokkaasti tallentamalla tiedoston RTF -formaatissa. Tilanteen seurauksena Skanska Oy ryhtyi seuraaviin toimenpiteisiin:

  • Ilmoitus kaikille yhteistyökumppaneille, joille on jaeltu viruksen sisältäviä tiedostoja.
  • Virustorjuntaohjelman päivitys.

Lähde: (Kauppalehti 5.8.1997)

UUSISSA LEVYKKEISSÄ VIRUKSIA
PC -Superstore Oy julkaisi maksullisen ilmoituksen 3,5" tehdasformatoidusta halpalevyke-erästä, josta oli löytynyt "LZR" -niminen MBR -virus. Asiakkaille jaettiin ostokuittia vastaan puhdistusohjelma ja kehotettiin alustamaan levykkeet uudelleen. Lähde: (Helsingin Sanomat 28.10.1994)

VÄÄRENNETYLLÄ PASSILLA LIIKKUNUT VENÄLÄINEN MIES LEVITTI TIETOKONEVIRUKSIA
Väärennetyllä brittipassilla Suomessa liikkunut venäläinen mieshenkilö jäi kiinni Helsingissä myymälävarkaudesta 21.5.1992. Poliisi takavarikoi miehen hallusta tietokonevirusten saastuttamia levykkeitä. Miehen epäiltiin levittäneen Michelangelo- tai Stoned tietokoneviruksia Suomessa.

Suomessa mies esiintyi englantilaisena Michael George Levenberginä. Hän liikkui Lahden, Heinolan ja Porin seuduilla tekemässä metallialan kauppoja. Kuulusteluissa mies kertoi nimekseen Mihail Ossetinky. Hän tuli Suomeen Vaalimaan raja-aseman kautta 19.5.1992. Lähde: (Helsingin Sanomat 30.5.1992)

Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön