Mikä on ransomware ja miksi siitä pitäisi olla huolissaan?
Ransomware, toiselta nimeltään kiristyshaittaohjelma, on haittaohjelmatyyppi, joka salaa tietokoneella olevat tiedostot ja käyttöjärjestelmän ja vaatii sen jälkeen maksua vastineeksi tietojen palauttamisesta takaisin käytettäviksi.
Ransomware-haittaohjelmat ja niihin liittyvät toimintatavat voidaan tyypillisesti jakaa kahteen eri luokkaan. Niihin, jotka salaavat tiedostot ja sen jälkeen vaativat maksua vastineeksi salauksenpurkuavaimesta, ja niihin, jotka tiedostojen salaamisen lisäksi varastavat tiedot ja uhkaavat jakaa ne internetissä, jos kohde ei maksa lunnaita.
Mikä on ramsomware-haittaohjelman toimintaperiaate?
Nykyään suurimmassa osassa internetin palveluista käytetään erilaisia luotettavaksi todettuja tapoja tiedostojen ja verkkoliikenteen salaukseen. Kaikki salaus perustuu viime kädessä samaan ideaan, jossa luotetaan matemaattiseen algoritmiin, joka tekee salatun tiedon lukemisen mahdottomaksi ilman avainta, jolla salaus voidaan purkaa. Eri toteutustavat vaihtelevat, mutta perusidea on kuitenkin aina sama.
Ransomware-haittaohjelmat hyödyntävät tätä samaa ideaa omassa toiminnassaan. Useimmiten ne toteuttavat salauksen tehokkaasti ja oikeiden periaatteiden mukaisesti, eli on käytännössä mahdotonta purkaa haittaohjelman salaamia tiedostoja ilman oikeaa avainta.
Kun haittaohjelma on salannut tietokoneen tiedostot, se näyttää käyttäjälle viestin, jossa yleensä kerrotaan, että tiedostojärjestelmä on salattu ja käyttäjän pitää maksaa korvaus saadakseen ne takaisin. Maksu pyydetään hankalamman jäljitettävyyden takia lähes aina kryptovaluuttana kuten Bitcoin.
Sen jälkeen, kun käyttäjä on maksanut pyydetyn summan rikollisille, hän joko saa purkuavaimen, jolla omat salatut tiedostot saa auki, tai tyypillisesti ei saa mitään vastinetta maksulleen.
Mikä on nykytilanne?
Tällä hetkellä ransomware-haittaohjelmat luokitellaan useiden eri tahojen mukaan yhdeksi suurimmaksi uhaksi koko internetissä. Esimerkiksi USA on luvannut samansuuruista palkkiota DarkSide-haittaohjelmia tekevän ryhmän jäsenten kiinniottoon johtavista vinkeistä, kuin mitä johtavista ISIS-terroristeista. Tämä kertoo muutoksesta siinä, millä vakavuudella valtiolliset tahot nykyään lähestyvät ongelmaa. DarkSide-ryhmä oli vastuussa mm. hyökkäyksestä Colonial Pipeline -yhtiötä vastaan. Colonial Pipeline on vastuussa noin 45 % koko USA:n itärannikon polttoaineen toimitusketjusta.
Rikollisia toimijoita on tällä hetkellä hyvin useita, ja niillä on eri toimintatapoja. Jotkut ottavat kohteikseen ainoastaan tarkkaan valikoituja suuria yrityksiä, joiden maksukyvyn hyökkäävä osapuoli on selvittänyt etukäteen. Toiset ryhmät taas eivät välitä siitä, kuka joutuu kohteeksi, jolloin myös pienellä yrityksellä on riski joutua kohteeksi. Lisäksi hyökkäyksissä käytetään usein pitkälle vietyjä automaattityökaluja, jolloin hyökkääjät saavat pienessä ajassa käytyä useita tuhansia kohteita läpi.
Mikä on ramsomware-hyökkäysten taloudellinen vaikutus?
Onnistuneen ransomware-hyökkäyksen taloudelliset vaikutukset voivat olla yritykselle erittäin vakavat. Taloudellinen haitta voi ilmetä usealla eri tavalla, joista muutamia ovat mm:
- Yrityksen liiketoiminta keskeytyy kriittisten tietojen ja järjestelmien ollessa saavuttamattomissa.
- Asiakkaat eivät pääse käyttämään yrityksen palveluita, tai esimerkiksi tilattujen hyödykkeiden toimitus estyy tai viivästyy.
- Toipuminen hyökkäyksestä vie aikaa ja vaatii paljon selvitystyötä, joka aiheuttaa lisäkustannusten ohella myös häiriötä liiketoimintaan. Pahimmassa tapauksessa osa salatusta datasta, esimerkiksi taloustiedot, voidaan menettää pysyvästi.
- Toipumiseen voidaan joutua hankkimaan ulkopuolista erikoisosaamista.
- Lunnaat, joita pyydetään, voivat tapauksesta riippuen olla hyvinkin suuria.
- Mahdolliset GDPR-sanktiot arkaluontoisten tietojen vuotamisesta.
Millaista mainehaittaa ramsomware-hyökkäys aiheuttaa?
Pelkän suoran taloudellisen haitan lisäksi vähintään yhtä suuri haitta liiketoiminnalle voi koitua mainehaitan kautta. Jos yrityksen arkaluontoisia tietoja varastetaan ja ne laitetaan saataville internetissä, voi yrityksestä paljastua asioita, joita ei kuuluisi koskaan tulla julkisuuteen. Nämä voivat olla mm. liikesalaisuudeksi luokiteltavia asioita, yhtiökumppaneihin liittyviä asioita tai sopimuksia eri tahojen välillä.
Jos yrityksen tiedot päätyvät internetiin kenen tahansa vapaasti ladattavaksi, voi tämä pahimmillaan olla liiketoiminnan lopettava tilanne yritykselle. Tästä hyvänä esimerkkinä Vastaamon tapaus, jossa erittäin arkaluontoista tietoa pääsi vapaasti ladattavaksi. Tämä ja siitä aiheutuneet muut oikeudelliset toimenpiteet käytännössä aiheuttivat liiketoiminnan loppumisen kyseisen yrityksen kohdalla.
Pitäisikö lunnaita maksaa vai ei?
Yleisenä hyvänä käytäntönä pidetään, että tilanteesta riippumatta ei pitäisi koskaan maksaa pyydettyjä rahoja rikollisille. Lunnaiden maksaminen ainoastaan auttaa kasvattamaan ransomware-ongelmaa antamalla rikollisille toimijoille enemmän resursseja kehittää omaa toimintaansa.
Vaikka rahat maksaisi, ei ole olemassa varmaa takuuta siitä, että niille saisi haluttua vastinetta (esimerkiksi purkuavainta, jolla salatut tiedot saa auki, tai että rikolliset poistaisivat yrityksen tiedot internetistä)
Kuinka ramsomware-hyökkäykseltä voi suojautua?
Ei ole olemassa yhtä täysin varmaa keinoa suojautua ransomwarea vastaan. Hyvä puolustus koostuu useista eri päällekkäisistä kerroksista, joiden tarkoitus on yhdessä tehdä yrityksestä mahdollisimman hankala kohde ransomware-toimijan kannalta. Tämän tarkoituksena on saada vihamielinen toimija mieluummin vaihtamaan kohdetta helpomman rahan toivossa, kuin jatkaa tunkeutumisen yrittämistä hyvin suojattuun kohteeseen. Seuraavat toimenpiteet auttavat suojautumaan kiristyshaittaohjelmia vastaan ja toipumaan mahdollisten tietoturvaloukkauksen sattuessa:
- Varmuuskopiot. Tärkein yksittäinen toimenpide on ajantasaiset varmuuskopiot, joiden palautus ja toimivuus on testattu säännöllisesti.
- EDR-käyttöönotto. (Endpoint Detecting and Response). Erinäisiä EDR-ratkaisuja löytyy kaikilta suurimmilta tietoturvayhtiöiltä, hyvänä esimerkkinä suomalainen F-Secure. Näiden tarkoitus on tarkkailla kaikkea yrityksen verkossa ja laitteilla tapahtuvaa toimintaa ja hälyttää/estää, jos havaitaan normaalista poikkeavaa toimintaa.
- Tietoisuuden lisääminen ja henkilökunnan koulutus. Suurimmassa osassa ransomware-hyökkäyksistä ensimmäisen jalansijan saanti yrityksen verkkoon ei ole tapahtunut käyttäen mitään kovinkaan edistyksellistä keinoa: useimmiten riittää perinteinen sähköpostilla lähetetty kalastelu, jonka kautta saadaan joku yrityksen työntekijöistä avaamaan haitallinen dokumentti tai linkki. Lisäämällä yrityksen työntekijöiden tietoisuutta nykyisiä tietoturvauhkia vastaan saavutetaan yksi niistä kerroksista, jotka tekevät yrityksestä epämieluisamman kohteen.
- Valmiina olevat suunnitelmat pahimman varalle. Parhaatkin suojaukset pettävät joskus, minkä vuoksi yrityksellä pitäisi olla olemassa suunnitelma sen varalle, kun paha päivä osuu omalle kohdalle. Valmiit, hyvät ja testatut suunnitelmat sekä käytännöt nopeuttavat huomattavasti hyökkäyksestä toipumista. Tämä on myös taloudellisesti kannattavaa, koska oma liiketoiminta saadaan nopeammin takaisin normaalitilaan.
Miltä tulevaisuus näyttää?
Ransomware-ongelma ei todennäköisesti ole poistumassa kovin nopeasti mihinkään. Eri toimijat ovat huomanneet sen olevan tuottavaa, joten toiminnan jatkaminen ja kehittäminen on heille myös kannattavaa. Näin ollen oman kyvykkyyden kehittäminen haittaohjelmilta suojautumiseen ja toipumiseen on investointi, joka kantaa pitkälle tulevaisuuteen.
Lähteet ja lisämateriaalia haittaohjelmista:
https://blog.f-secure.com/podcast-ransomware-mikko/
https://www.cisa.gov/stopransomware
Lisää esimerkkejä tietoturvan kehittämisestä ja hyvistä tietoturvakäytännöistä löydät tietoturvaoppaastamme.
Kirjoittaja: Mikael Peltomaa, tietoturva-asiantuntija, Talentree Oy
Kiinnostaako tietoturvan kehittäminen? Ota yhteyttä liiketoimintajohtajaamme Santeri Siltalaan.
