Kiristysohjelmahyökkäykset ovat suuren luokan liiketoimintaa. Arvion mukaan vuoden 2021 loppuun mennessä kiristysohjelmat hyökkäävät yrityksiä kohtaan joka 11. sekunti aiheuttaen jopa 20 miljardin dollarin vahingot. Kiristysohjelmahyökkäykset eivät ole ainoastaan organisaatioiden, kuten yritysten, hallitusten ja terveydenhuollon tarjoajien ongelma. Ne vaikuttavat myös asiakkaisiin ja työntekijöihin, joiden tiedot kärsivät tämän tyyppisten hyökkäysten aiheuttamista vahingoista.
Kiristysohjelmahyökkäyksissä haittaohjelma salaa uhrin datan ja tiedostot. Ne poikkeavat kiristyskampanjoista, joissa käytetään palvelunestohyökkäystä (DDoS). DDoS musertaa uhrit liikenteen määrällä ja lupaa lopettaa hyökkäyksen maksua vastaan.
Jotkut organisaatiot maksavat lunnasrahat, mutta sitä ei yleensä suositella. Ei ole mitään takuuta siitä, että tartunnan saaneet järjestelmät palautetaan käyttöön. Lisäksi maksamalla uhrit kannustavat tämän kaltaisten kyberhyökkäysten harjoittamiseen. Usein yritykset eivät tiedota kiristysohjelmahyökkäyksistä tai jos tiedottavat, he eivät paljasta hyökkääjien vaatimuksia.
Esittelemme joitakin viimeisimpiä vuoden 2020 aikana tehtyjä kiristysohjelmahyökkäyksiä.
Hakkerit aloittivat vuoden hyökkäämällä valuutanvaihtoyritys Travelexiin. He pakottivat yrityksen sammuttamaan kaikki tietokonejärjestelmät ja luottamaan kynään ja paperiin. Yrityksen piti tämän seurauksena sulkea verkkosivunsa 30 maassa.
Hyökkäyksen takana oli kiristysohjelmajengi nimeltä Sodinokibi (joka tunnetaan myös nimellä REvil), joka vaati Travelexilta kuusi miljoonaa dollaria. Jengi väitti tunkeutuneensa yrityksen tietokoneverkostoon kuusi kuukautta aiemmin, minkä vuoksi he pystyivät lataamaan 5 gigatavua arkaluontoisia asiakastietoja mukaan lukien syntymäpäivät ja luottokorttinumerot. Jos Travelex maksaisi lunnaat, jengi lupasi tuhota tiedot ja jos ei, lunnasvaatimus tuplaantuisi kahden päivän välein. Seitsemän päivän kuluttua jengi aikoi myydä tiedot muille kyberrikollisille.
Oletetusti Travelex maksoi jengille 2,3 miljoonaa dollaria bitcoineina ja palautti verkkojärjestelmänsä niiden oltua kaksi viikkoa poissa käytöstä. Elokuussa 2020 yritys ilmoitti, että se joutui selvitystilaan. Syyksi se kertoi kiristysohjelmahyökkäyksen ja Covid-19-pandemian yhteisvaikutukset.
Ystävänpäivänä kyberhyökkäys tuhosi joitakin INA Groupin, Kroatian suurimman öljy-yhtiön ja suurimman huoltoasemaketjun, liiketoimintoja. Hyökkäys oli kiristysohjelmatartunta, joka tartutti ja sitten salasi joitakin yrityksen taustaohjelmien palvelimia.
Hyökkäys ei vaikuttanut yrityksen kykyyn tarjota asiakkaille bensiiniä, mutta se haittasi laskutusta, asiakaskortin käyttöä ja uusien mobiilikuponkien myöntämistä, minkä lisäksi asiakkailla oli vaikeuksia maksaa laskunsa.
Hyökkäyksen aiheutti oletetusti Clop-kiristysohjelmakannan tartunta. Turvallisuustutkijat kutsuvat Clop-jengiä "suuren luokan kiristysohjelmaksi". Jengi on rikollisryhmä, joka hyökkää yrityksiä kohtaan tartuttaakseen niiden verkostot, salatakseen datan ja pyytääkseen sitten erittäin suuria lunnaita.
Maaliskuussa Kaliforniassa sijaitseva Communications & Power Industries (CPI), merkittävä elektroniikkalaitteiden valmistaja, joutui kiristysohjelmahyökkäyksen kohteeksi.
Yritys valmistaa komponentteja sotilaslaitteisiin ja yksi sen asiakkaista on Yhdysvaltojen puolustusministeriö. Kiristysohjelmahyökkäys tapahtui, kun yrityksen domain-valvoja napsautti haitallista linkkiä, joka käynnisti tiedostoja salaavan haittaohjelman. Verkon tuhannet tietokoneet olivat samassa segmentoimattomassa domainissa, joten kiristysohjelma levisi nopeasti kaikkiin CPIn toimistoihin mukaan lukien toimistoissa sijaitsevat varmuuskopiot.
Yritys oletettavasti maksoi 500 000 dollaria hyökkääjille. Kiristysohjelman tyyppi ei ole tiedossa.
Huhtikuussa raportoitiin, että portugalilainen energiajätti Energias de Portugal (EDP) oli joutunut hyökkäyksen kohteeksi. Kyberrikolliset, jotka käyttivät Ragnar Locker -kiristysohjelmaa salasivat yrityksen järjestelmät ja vaativat lähes 10 miljoonan dollarin lunnaat.
Hyökkääjät väittivät varastaneensa 10 teratavun verran yrityksen arkaluontoisia tietoja, jotka he uhkasivat vuotaa, jos lunnaita ei maksettaisi. Hakkerit postittivat kuvankaappauksia joistakin salaisista tiedoista antaakseen todisteen siitä, että tiedot olivat heidän hallussaan. Tietoihin sisältyi luottamuksellisia tietoja laskutuksesta, sopimuksista, transaktioista, asiakkaista ja kumppaneista.
EDP vahvisti, että hyökkäys oli tapahtunut. He kuitenkin sanoivat, että mitään näyttöä arkaluontoisten asiakastietojen vuodosta ei ollut. Siltä varalta, että asiakastietojen varkaus tulisi ilmi tulevaisuudessa, yritys tarjosi asiakkaille vuodeksi maksuttoman Experian-henkilöllisyyssuojan.
Toukokuussa New Yorkissa sijaitseva lakifirma Grubman Shire Meiselas & Sacks, jonka asiakaskuntaan lukeutuu kuuluisuuksia kuten Madonna, Elton John ja Robert DeNiro, joutui REVil-kiristysohjelman uhriksi.
Kyberhyökkääjät väittivät käyttäneensä REvil- tai Sodinokobi-kiristysohjelmaa varastaakseen henkilökohtaisia tietoja mukaan lukien asiakassopimukset, puhelinnumerot, sähköpostiosoitteet, henkilökohtaiset viestit ja salassapitosopimukset. Hyökkääjät uhkasivat julkaista tiedot yhdeksässä vaiheessa, ellei yhteensä 21 miljoonan dollarin lunnaita maksettaisi. Vaatimus tuplattiin 42 miljoonaan dollariin, kun lakifirma kieltäytyi maksamasta.
Hyökkäyksestä kärsivät myös kuuluisuudet kuten Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey ja Mary J. Blige. Lakifirma kieltäytyi neuvottelemasta hyökkääjien kanssa ja kutsui FBIn tutkimaan tilannetta.
Kesäkuussa autonvalmistajajätti Honda kärsi Snake-kiristysohjelman (joka tunnetaan myös nimellä Ekans) kiristysohjelmahyökkäyksestä, joka kohdistui yrityksen toimipisteisiin Yhdysvalloissa, Euroopassa ja Japanissa. Kun hyökkäys havaittiin, Honda pysäytti tuotannon tietyissä toimipisteissä selvittääkseen tietokoneverkon häiriöt. Hakkerit pääsivät kiristysohjelmalla käsiksi Hondan sisäiseen palvelimeen ja salasivat sen. He vaativat lunnaita salausavainta vastaan. Honda tiedotti myöhemmin, että hyökkääjät eivät olleet näyttäneet todisteita henkilötietojen menettämisestä.
Ranskalainen tietoliikenneyritys ja Euroopan neljänneksi suurin matkaviestinoperaattori Orange joutui Nefilim-kiristysohjelman uhriksi heinäkuussa. Yrityksen liiketoimintaosastoon murtauduttiin ja Orange lisättiin pimeän verkon Nefilim-sivustolle, joka kertoi tarkasti yritysvuodosta heinäkuun 15. päivä. Esimerkkitiedostot, jotka Nefilim-ryhmä sanoi varastaneensa Orangen asiakkailta sisältyivät 339 Mt:n arkistoon.
Nefilim on suhteellisen uusi kiristysohjelmaoperaattori, joka löydettiin vuonna 2020. Orange tiedotti, että yrityksen liiketoimintaosastolla noin 20 yritystason asiakkaan tiedot altistuivat.
Elokuussa tiedotettiin, että Utahin yliopisto oli maksanut 457 000 dollarin lunnaat kyberrikollisille estääkseen heitä julkaisemasta luottamuksellisia tiedostoja, jotka oli varastettu kiristysohjelmahyökkäyksessä. Hyökkäys salasi yliopiston yhteiskunta- ja käyttäytymistieteellisen tiedekunnan palvelimet. Hyökkäyksen aikana rikolliset varastivat salaamattomat tiedot ennen kuin ne siirtyivät salaaviin tietokoneisiin.
Varastetut tiedot sisälsivät opiskelijoiden ja työntekijöiden tietoja, joten yliopisto päätti maksaa lunnaat välttääkseen tietojen vuodon. Yliopisto neuvoi kaikkia altistuneen tiedekunnan opiskelijoita ja työntekijöitä valvomaan luottotietojaan laittomien toimien varalta ja vaihtamaan verkossa käyttämänsä salasanat.
Syyskuussa K-Electricin, Pakistanin Karachin kaupungin ainoan energianjakeluyhtiön kerrottiin joutuneen Netwalker-kiristysohjelmahyökkäksen uhriksi. Se keskeytti energiayhtiön laskutus- ja verkkopalvelut.
Lunnasoperaattorit vaativat K-Electriciä maksamaan 3,85 miljoonan dollarin lunnaat varoittaen, että summa nousisi 7,7 miljoonaan dollariin, jos lunnaita ei maksettaisi viikon kuluessa. Netwalker julkaisi 8,5 Gt:n suuruisen tiedostoarkiston, joka oli oletettavasti varastettu hyökkäyksen aikana. Tietoihin sisältyi taloudellisia ja asiakastietoja.
Netwalker oli aiemmin hyökännyt Argentiinan maahanmuuttotoimistoihin, useisiin Yhdysvaltojen hallituksen virastoihin ja Kalifornian San Franciscon yliopistoon (joka maksoi yli miljoonan dollarin lunnaat).
K-Electric myönsi kyberhyökkäyksen tapahtuneen, mutta kaikkien kriittisten asiakaspalvelujen olevan täysin toiminnassa.
Lokakuussa hakkerit murtautuivat Press Trust of India (PTI) -uutistoimiston palvelimiin häiriten sen palveluja tuntien ajan. Yhtiön tiedottaja kuvaili tapausta massiiviseksi kiristysohjelmahyökkäykseksi, joka keskeytti toiminnot ja uutisten jakelun tilaajille kautta Intian.
LockBit-kiristysohjelma on haitallinen ohjelmisto, joka on suunniteltu estämään käyttäjän pääsy tietokonejärjestelmiin, kunnes hän maksaa lunnassumman.
Marraskuussa Brasilian korkeimman oikeuden kyberinfrastuktuuri kärsi massiivisesta kiristysohjelmahyökkäyksestä, joka pakotti sen sulkemaan verkkosivunsa.
Kiristysohjelmahyökkääjät julistivat, että tuomioistuimen koko tietokanta oli salattu ja että sitä olisi turha yrittää palauttaa. Hakkerit jättivät lunnasviestin, jossa tuomioistuinta pyydettiin ottamaan heihin yhteyttä protonmail-sähköpostiosoitteeseen. Lisäksi hakkerit pyrkivät hyökkäämään useisiin muihin Brasilian hallituksen verkkosivustoihin.
Joulukuussa Arizonassa sijaitseva GenRx Pharmacy varoitti satoja tuhansia potilaitaan mahdollisesta tietomurrosta sen jälkeen, kun yritys oli joutunut kiristysohjelmahyökkäyksen uhriksi. Apteekki tiedotti, että hakkerit olivat onnistuneet poistamaan tiedostoja, joihin sisältyi terveydenhuollon tietoja, joita yritys käytti käsitelläkseen ja lähettääkseen potilaille määrättyjä tuotteita.
Viimeisimmät kiristysohjelmahyökkäykset ovat yhä valikoivimpia sen suhteen, ketä kohtaan ne hyökkäävät ja kuinka paljon lunnaita ne vaativat. Kaspersky’s Anti-Ransomware Tool tarjoaa suojan sekä kotitalouksille että yrityksille. Samoin kuin muidenkin kyberturvallisuusuhkien kohdalla, suojauksen avainasemassa on tarkkaavaisuus.
Aiheeseen liittyvät artikkelit: