Kiristysohjelmien tunnistaminen – kuinka salaustroijalaiset eroavat toisistaan

Kiristysohjelman määritelmä

Kiristysohjelma on eräs kyberrikollisten hyödyntämä haittaohjelmatyyppi (haitallinen ohjelma). Jos kiristysohjelma on tartuttanut tietokoneen tai verkon, se estää järjestelmän käytön tai salaa sen tiedot. Kyberrikolliset vaativat uhreiltaan lunnasrahoja tietojen vapauttamista vastaan. Suojautuaksesi kiristysohjelman aiheuttamaa tartuntaa vastaan on suositeltavaa pysyä valppaana ja käyttää suojausohjelmistoa. Haittaohjelman uhriksi joutuneilla on kolme vaihtoehtoa tartunnan saannin jälkeen: he voivat joko maksaa lunnaat, yrittää poistaa haittaohjelman, tai käynnistää laitteen uudestaan. Kiristystroijalaisten usein käyttämiin hyökkäysvektoreihin sisältyvät etätyöpöytäprotokolla, tietojenkalastelusähköpostit ja ohjelmiston haavoittuvuudet. Kiristysohjelmahyökkäys voi sen vuoksi kohdistua sekä yksityishenkilöihin että yrityksiin.

Kiristysohjelmien tunnistaminen – ohjelmatyyppien kesken on olennaisia eroa

Erityisesti kahdentyyppiset kiristysohjelmat ovat erittäin suosittuja:

• Lukitseva kiristysohjelma. Tämä haittaohjelmatyyppi estää tietokoneen perustoiminnot. Se saattaa esimerkiksi estää työpöydän käytön ja mahdollistaa vain osittaisen hiiren ja näppäimistön toiminnan. Näin voit edelleen olla vuorovaikutuksessa kiristysvaatimuksen sisältävän ikkunan kanssa maksaaksesi lunnaat. Muuten tietokone on käyttökelvoton. Hyvä uutinen kuitenkin on, että lukitseva haittaohjelma ei yleensä pyri pääsemään käsiksi kriittisiin tiedostoihin. Tavallisesti se ainoastaan haluaa lukita sinut ulos. Tietojasi ei sen vuoksi todennäköisesti tuhota kokonaan.
• Salaava kiristysohjelma. Salaavan haittaohjelman tavoitteena on salata tärkeät tietosi, kuten asiakirjat, kuvat ja videot, mutta se ei häiritse tietokoneen perustoimintoja. Tämä saa aikaan paniikin, koska käyttäjät voivat nähdä tiedostonsa, mutta eivät pääse niihin käsiksi. Salaavan ohjelman kehittäjät lisäävät usein lunnasvaatimukseensa aikarajan: "Jos et maksa lunnaita määräaikaan mennessä, kaikki tiedostosi tuhotaan." Kun otetaan huomioon, että suuri määrä käyttäjistä ei ole tietoinen pilveen tai ulkoiseen fyysiseen tallennuslaitteeseen tehtävän varmuuskopion tarpeesta, salaavalla kiristysohjelmalla voi olla tuhoisa vaikutus. Monet uhriksi joutuneet maksavatkin lunnaat yksinkertaisesti saadakseen tietonsa takaisin.

Locky, Petya ym.

Nyt tiedät, mikä kiristysohjelma on ja mitkä ovat niiden kaksi päätyyppiä. Seuraavaksi esittelemme joitakin tunnettuja esimerkkejä, jotka auttavat sinua ymmärtämään kiristysohjelmien aiheuttavat vaarat:

Locky

Locky on kiristysohjelma, jota järjestäytynyt hakkeriryhmä käytti ensimmäisen kerran hyökkäykseen vuonna 2016. Locky salasi yli 160 tiedostotyyppiä ja sitä levitettiin tartutettuja liitetiedostoja sisältävien väärennettyjen sähköpostiviestien välityksellä. Käyttäjät menivät sähköpostiviestin ansaan ja asensivat kiristysohjelman tietokoneeseensa. Tätä levitysmenetelmää kutsutaan tietojen kalasteluksi ja sosiaaliseksi manipuloinniksi. Locky kohdistuu suunnittelijoiden, kehittäjien, insinöörien ja testaajien usein käyttämiin tiedostotyyppeihin.

WannaCry

WannaCry-kiristysohjelmahyökkäys levisi yli 150 maahan vuonna 2017. Se kehitettiin käyttämään hyväksi Windowsin tietoturva-aukkoa, joka oli NSAn luoma ja jonka Shadow Brokers vuosi hakkeriryhmälle. WannaCry vaikutti maailmanlaajuisesti 230 000 tietokoneeseen. Hyökkäys kohdistui kolmannekseen Yhdistyneen kuningaskunnan julkisen terveydenhuoltojärjestelmän sairaaloista aiheuttaen noin 92 miljoonan punnan tuhot. Käyttäjät lukittiin ulos ja heitä vaadittiin maksamaan lunnaat bitcoineina. Hyökkäys toi esiin vanhentuneiden järjestelmien ongelman. Hakkeri käytti hyväkseen käyttöjärjestelmän haavoittuvuutta, johon hyökkäyksen aikana ei enää ollut olemassa korjaustiedostoa. WannaCry aiheutti maailmanlaajuisesti noin 4 miljardin dollarin taloudelliset vauriot.

Bad Rabbit

Bad Rabbit -kiristysohjelmahyökkäystä levittivät vuonna 2017 niin kutsutut ohiajo (drive-by) -hyökkäykset. Hyökkäykset tapahtuivat suojaamattomien verkkosivustojen välityksellä. Ohiajotyyppisessä kiristysohjelmahyökkäyksessä käyttäjä vierailee todellisella verkkosivustolla tietämättä, että se on hakkereiden saastuttama. Useimmissa ohiajohyökkäyksissä riittää, että käyttäjä avaa verkkosivun, joka on kaapattu. Tässä tapauksessa tartuntaan kuitenkin johti haittaohjelman sisältämän asennusohjelman suorittaminen. Tätä kutsutaan dropper-haittaohjelmaksi. Bad Rabbit pyysi käyttäjää suorittamaan väärennetyn Adobe Flash -asennuksen, joka tartutti tietokoneeseen haittaohjelman.

Ryuk

Ryuk on salaustroijalainen, joka levisi elokuussa 2018. Se poisti käytöstä Windows-käyttöjärjestelmien palautustoiminnon. Tämän vuoksi salattuja tietoja ei pystytty palauttamaan ilman ulkoista varmuuskopiota. Sen lisäksi Ryuk salasi verkkoasemat. Vaikutus oli valtava ja monet hyökkäyksen kohteeksi joutuneet yhdysvaltalaiset järjestöt maksoivat vaaditut lunnaat. Arvioitu kokonaisvaurio oli yli 640 000 dollaria.

Shade/Troldesh

Shade- tai Troldesh-kiristysohjelmahyökkäykset tapahtuivat vuonna 2015. Ne levisivät tartunnan saaneita linkkejä tai liitetiedostoja sisältävien roskapostien välityksellä. Mielenkiintoista oli, että Troldesh-hyökkääjät olivat suoraan yhteydessä uhreihinsa sähköpostien välityksellä. Uhreille, joiden kanssa oli luotu "hyvä suhde" lähetettiin alennuksia. Tällainen toiminta on kuitenkin poikkeuksellista.

Jigsaw

Jigsaw-kiristysohjelmahyökkäys käynnistyi vuonna 2016. Hyökkäys sai nimensä käyttämästään kuvasta, joka esitti tunnettua Saw-elokuvasarjan nukkea. Jokaisen tunnin aikana, jolloin lunnaita ei oltu maksettu, Jigsaw-kiristysohjelma tuhosi lisää tiedostoja. Kauhuelokuvasta tutun kuvan käyttö lisäsi käyttäjien stressiä.

CryptoLocker

CryptoLocker-kiristysohjelma havaittiin ensimmäisen kerran vuonna 2007, ja se levisi saastuneiden sähköpostiliitteiden kautta. Kiristysohjelma etsi tartunnan saaneista tietokoneista tärkeitä tietoja ja salasi ne. Arviolta 500 000 tietokonetta sai tartunnan. Lainvalvontaviranomaisten ja turvallisuusalan yritysten onnistui lopulta saada hallintaan maailmanlaajuinen kaapattujen kotitietokoneiden verkosto, jota käytettiin CryptoLockerin levittämiseen. Näin viranomaiset ja yritykset kykenivät pysäyttämään verkossa lähetetyt tiedot ilman, että rikolliset huomasivat sitä. Lopulta tämä johti verkkoportaalin luontiin, josta uhrit saivat avaimen tietojensa avaamiseen. Tiedot voitiin vapauttaa ilman, että lunnaita jouduttiin maksamaan rikollisille.

Petya

Petya (jota ei pidä sekoittaa ExPetriin), on kiristysohjelmahyökkäys, joka tapahtui ensimmäisen kerran vuonna 2016 ja toistettiin vuonna 2017 nimellä GoldenEye. Tämä haittaohjelma ei salannut ainoastaan tiettyjä tietoja vaan uhrin koko kiintolevyn. Tämä tehtiin salaamalla Master File Table (MFT), jolloin kiintolevyn tiedostoja on mahdotonta käyttää. Petya-kiristysohjelma levisi yritysten henkilöstöosastoille tartunnan saaneen Dropbox-linkin sisältävän valheellisen sovelluksen välityksellä.

Petyan variantissa Petya 2.0:ssa on tiettyjä olennaisia eroavaisuuksia. Molempien aiheuttama hyökkäys on kuitenkin yhtä lailla tuhoisa laitteelle.

GoldenEye

Petyan uudelleen herääminen GoldenEye-hyökkäyksenä johti maailmanlaajuiseen kiristysohjelmatartuntaan vuonna 2017. GoldenEye, joka tunnetaan myös WannaCryn "kuollettavana sisarena", iski yli 2 000 kohteeseen, mukaan lukien öljyntuottajiin Venäjällä ja useisiin pankkeihin. Huolestuttavan tapahtumaketjun seurauksena GoldenEye pakotti Tšernobylin ydinvoimalan henkilöstön tarkistamaan säteilytason manuaalisesti, minkä jälkeen heidän lukittiin ulos Windows-tietokoneiltaan.

GandCrab

GandCrab on inhottava kiristysohjelma, joka uhkasi paljastaa uhriensa pornonkäyttötavat. Se väitti hakkeroineensa uhrin verkkokameran ja vaati lunnaita. Jos lunnaita ei maksettu, uhrista julkaistiin kiusallista filmimateriaalia. GandCrab-hyökkäyksiä tapahtui ensimmäistä kertaa vuonna 2018, minkä jälkeen siitä on kehitetty useita versioita. Osana "Ei enää lunnaita" -aloitetta suojauspalveluiden tarjoajat ja poliisit kehittivät kiristysohjelmien salauksenpurkutyökalun, joka auttaa uhreja palauttamaan arkaluontoiset tietonsa GandCrabista.

B0r0nt0k

B0r0nt0k on salaava kiristysohjelma, joka keskittyy erityisesti Windows- ja Linux-pohjaisiin palvelimiin. Tämä haitallinen kiristysohjelma salaa Linux-palvelimen tiedostot ja liittää niihin ".rontok"-tiedostopäätteen. Haittaohjelma ei uhkaa ainoastaan tiedostoja. Se myös muuttaa käynnistysasetuksia, estää toimintoja ja sovelluksia, sekä lisää laitteeseen rekisterimerkintöjä, tiedostoja ja ohjelmia.

Dharma Brrr -kiristysohjelma

Brrr on uusi Dharma-kiristysohjelma, jonka hakkerit asentavat manuaalisesti hakkeroiduttuaan internetiin yhteydessä oleviin pöytäkonepalveluihin. Heti, kun hakkeri on aktivoinut kiristysohjelman, se alkaa salaamaan löytämiään tiedostoja. Salatuille tiedostoille annetaan tiedostopääte ".id-[id].[email].brrr".

FAIR RANSOMWARE -kiristysohjelma

FAIR RANSOMWARE on kiristysohjelma, joka pyrkii salaamaan tietoja. Tehokkaan algoritmin avulla kaikki uhrin yksityiset asiakirjat ja tiedostot salataan. Haittaohjelma lisää tiedostopäätteen ".FAIR RANSOMWARE" salaamiinsa tiedostoihin.

MADO-kiristysohjelma

MADO on toisentyyppinen salaava kiristysohjelma. Tämän kiristysohjelman salaamille tiedoille annetaan pääte ".mado", joten tiedostoja ei enää pystytä avaamaan.

Kiristysohjelmahyökkäykset

Kuten jo mainitsimme, kiristysohjelmahyökkäykset kohdistuvat kaikenlaisiin käyttäjiin. Yleensä vaadittu lunnasraha on noin 100–200 dollaria. Jotkin hyökkäykset vaativat kuitenkin paljon enemmän rahaa. Ennen kaikkea silloin, kun hyökkääjä tietää, että estetyt tiedot saavat aikaan merkittävän taloudellisen tappion hyökkäyksen uhriksi joutuneelle yritykselle. Kyberrikolliset voivat siksi tuottaa suuria summia rahaa näillä menetelmillä. Kahdessa alla olevassa esimerkissä kyberhyökkäyksen uhri on tai oli merkittävämpi kuin käytetty kiristysohjelma.

WordPress-kiristysohjelma

Kuten nimestä käy ilmi, WordPress-kiristysohjelma kohdistuu WordPress-verkkosivun tiedostoihin. Uhrilta kiristetään lunnasrahoja, kuten kiristysohjelmilla on tapana. Mitä käytetympi WordPress-sivusto on, sitä todennäköisemmin kyberrikolliset hyökkäävät sitä kohtaan kiristysohjelmilla.

Wolverine-tapaus

Wolverine Solutions Group (terveydenhuoltoalan toimittaja) joutui kiristysohjelmahyökkäyksen uhriksi syyskuussa 2018. Haittaohjelma salasi suuren määrän yrityksen tiedostoja, joten työntekijät eivät voineet niitä avata. Tietoturvaloukkausten asiantuntijat pystyivät onneksi purkamaan tiedostojen salauksen ja palauttamaan ne 3. lokakuuta. Kuitenkin merkittävä määrä potilastietoja vaarantui hyökkäyksessä. Nimet, osoitteet, lääketieteelliset tiedot ja muita henkilötietoja oli saattanut päätyä kyberrikollisten käsiin.

Kiristysohjelma palveluna

Kiristysohjelma palveluna antaa kyberrikollisille, joilla on heikot tekniset valmiudet mahdollisuuden suorittaa kiristysohjelmahyökkäyksiä. Haittaohjelma annetaan ostajien käyttöön, minkä johdosta ohjelmiston ohjelmoijien riski pienenee ja voitot kasvavat.

Yhteenveto

Kiristysohjelmahyökkäykset voivat näyttää erilaisilta ja olla erikokoisia ja erityyppisiä. Hyökkäysvektori on tärkeä käytettyjen kiristysohjelmien tekijä. Hyökkäyksen koon ja laajuuden määrittämisesti on aina tarpeen ottaa huomioon, mitä on vaakalaudalla tai mitä tietoja saatetaan tuhota tai julkaista. Kiristysohjelman tyypistä huolimatta tietojen varmuuskopiointi etukäteen ja suojausohjelmiston asianmukainen käyttö voivat merkittävästi vähentää hyökkäyksen vaikutuksia.