Vuoden 2020 tunnetuimmat kiristysohjelmahyökkäykset

Kiristysohjelmahyökkäykset ovat suuren luokan liiketoimintaa. Arvion mukaan vuoden 2021 loppuun mennessä kiristysohjelmat hyökkäävät yrityksiä kohtaan joka 11. sekunti aiheuttaen jopa 20 miljardin dollarin vahingot. Kiristysohjelmahyökkäykset eivät ole ainoastaan organisaatioiden, kuten yritysten, hallitusten ja terveydenhuollon tarjoajien ongelma. Ne vaikuttavat myös asiakkaisiin ja työntekijöihin, joiden tiedot kärsivät tämän tyyppisten hyökkäysten aiheuttamista vahingoista.

Kiristysohjelmahyökkäyksissä haittaohjelma salaa uhrin datan ja tiedostot. Ne poikkeavat kiristyskampanjoista, joissa käytetään palvelunestohyökkäystä (DDoS). DDoS musertaa uhrit liikenteen määrällä ja lupaa lopettaa hyökkäyksen maksua vastaan.

Jotkut organisaatiot maksavat lunnasrahat, mutta sitä ei yleensä suositella. Ei ole mitään takuuta siitä, että tartunnan saaneet järjestelmät palautetaan käyttöön. Lisäksi maksamalla uhrit kannustavat tämän kaltaisten kyberhyökkäysten harjoittamiseen. Usein yritykset eivät tiedota kiristysohjelmahyökkäyksistä tai jos tiedottavat, he eivät paljasta hyökkääjien vaatimuksia.

Esittelemme joitakin viimeisimpiä vuoden 2020 aikana tehtyjä kiristysohjelmahyökkäyksiä.

Kiristysohjelmahyökkäykset tammikuussa 2020

1. Travelex-kiristysohjelmahyökkäys

Hakkerit aloittivat vuoden hyökkäämällä valuutanvaihtoyritys Travelexiin. He pakottivat yrityksen sammuttamaan kaikki tietokonejärjestelmät ja luottamaan kynään ja paperiin. Yrityksen piti tämän seurauksena sulkea verkkosivunsa 30 maassa.

Hyökkäyksen takana oli kiristysohjelmajengi nimeltä Sodinokibi (joka tunnetaan myös nimellä REvil), joka vaati Travelexilta kuusi miljoonaa dollaria. Jengi väitti tunkeutuneensa yrityksen tietokoneverkostoon kuusi kuukautta aiemmin, minkä vuoksi he pystyivät lataamaan 5 gigatavua arkaluontoisia asiakastietoja mukaan lukien syntymäpäivät ja luottokorttinumerot. Jos Travelex maksaisi lunnaat, jengi lupasi tuhota tiedot ja jos ei, lunnasvaatimus tuplaantuisi kahden päivän välein. Seitsemän päivän kuluttua jengi aikoi myydä tiedot muille kyberrikollisille.

Oletetusti Travelex maksoi jengille 2,3 miljoonaa dollaria bitcoineina ja palautti verkkojärjestelmänsä niiden oltua kaksi viikkoa poissa käytöstä. Elokuussa 2020 yritys ilmoitti, että se joutui selvitystilaan. Syyksi se kertoi kiristysohjelmahyökkäyksen ja Covid-19-pandemian yhteisvaikutukset.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Pennsylvaniassa Pittsburghin yhdistetyn koulupiirin oppilaat olivat ilman internetyhteyttä sen jälkeen, kun kiristysohjelmahyökkäys kytki koulupiirin verkoston pois päältä loman aikana.
• Floridassa Miramarissa sijaitsevan klinikan potilaat saivat lunnasvaatimuksia kyberrikollisilta, jotka uhkasivat julkaista heidän yksityiset lääketieteelliset tiedot, jos lunnaita ei maksettaisi.

Kiristysohjelmahyökkäykset helmikuussa 2020

2. INA Groupiin kohdistunut kiristysohjelmahyökkäys

Ystävänpäivänä kyberhyökkäys tuhosi joitakin INA Groupin, Kroatian suurimman öljy-yhtiön ja suurimman huoltoasemaketjun, liiketoimintoja. Hyökkäys oli kiristysohjelmatartunta, joka tartutti ja sitten salasi joitakin yrityksen taustaohjelmien palvelimia.

Hyökkäys ei vaikuttanut yrityksen kykyyn tarjota asiakkaille bensiiniä, mutta se haittasi laskutusta, asiakaskortin käyttöä ja uusien mobiilikuponkien myöntämistä, minkä lisäksi asiakkailla oli vaikeuksia maksaa laskunsa.

Hyökkäyksen aiheutti oletetusti Clop-kiristysohjelmakannan tartunta. Turvallisuustutkijat kutsuvat Clop-jengiä "suuren luokan kiristysohjelmaksi". Jengi on rikollisryhmä, joka hyökkää yrityksiä kohtaan tartuttaakseen niiden verkostot, salatakseen datan ja pyytääkseen sitten erittäin suuria lunnaita.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Hyökkäyksen kohteeksi joutui NRC Health, terveydenhuoltoalan yritys, jonka yhteistyökumppaneihin kuuluu 75 % Yhdysvaltojen 200:sta suurimmasta sairaalasta. Yritys sulki järjestelmänsä, mukaan lukien asiakaskäyttöön tarkoitetut portaalit, lieventääkseen tietomurtoa. Yrityksen tallentamiin tietoihin lukeutuvat henkilökunnan palkat ja Medicaren ja muiden ohjelmien korvaustiedot.

Kiristysohjelmahyökkäykset maaliskuussa 2020

3. Communications & Power Industries -yritykseen kohdistunut kiristysohjelmahyökkäys

Maaliskuussa Kaliforniassa sijaitseva Communications & Power Industries (CPI), merkittävä elektroniikkalaitteiden valmistaja, joutui kiristysohjelmahyökkäyksen kohteeksi.

Yritys valmistaa komponentteja sotilaslaitteisiin ja yksi sen asiakkaista on Yhdysvaltojen puolustusministeriö. Kiristysohjelmahyökkäys tapahtui, kun yrityksen domain-valvoja napsautti haitallista linkkiä, joka käynnisti tiedostoja salaavan haittaohjelman. Verkon tuhannet tietokoneet olivat samassa segmentoimattomassa domainissa, joten kiristysohjelma levisi nopeasti kaikkiin CPIn toimistoihin mukaan lukien toimistoissa sijaitsevat varmuuskopiot.

Yritys oletettavasti maksoi 500 000 dollaria hyökkääjille. Kiristysohjelman tyyppi ei ole tiedossa.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Yhdistyneessä kuningaskunnassa sijaitseva Hammersmith Medical Centre joutui Maze-kiristysohjelman hyökkäyksen kohteeksi. Medical Centre tekee kliinisiä tutkimuksia lääkkeiden ja rokotteiden varhaisvaiheista. Hyökkäys tapahtui vain muutamia päiviä sen jälkeen, kun Maze-ryhmä lupasi olla hyökkäämättä lääketieteellisiä tutkimusorganisaatioita vastaan Covid-19-pandemian aikana. Kun Centre kieltäytyi maksamasta lunnaita, ryhmä julkaisi tuhansien aiempien potilaiden henkilökohtaisia tietoja. Centren johtaja Malcolm Boyce kertoi tiedotusvälineille, että hänen puolestaan liiketoiminta saa mieluummin mennä nurin, kuin että hän maksaisi lunnaat.

Kiristysohjelmahyökkäykset huhtikuussa 2020

4. Energias de Portugaliin kohdistunut kiristysohjelmahyökkäys

Huhtikuussa raportoitiin, että portugalilainen energiajätti Energias de Portugal (EDP) oli joutunut hyökkäyksen kohteeksi. Kyberrikolliset, jotka käyttivät Ragnar Locker -kiristysohjelmaa salasivat yrityksen järjestelmät ja vaativat lähes 10 miljoonan dollarin lunnaat.

Hyökkääjät väittivät varastaneensa 10 teratavun verran yrityksen arkaluontoisia tietoja, jotka he uhkasivat vuotaa, jos lunnaita ei maksettaisi. Hakkerit postittivat kuvankaappauksia joistakin salaisista tiedoista antaakseen todisteen siitä, että tiedot olivat heidän hallussaan. Tietoihin sisältyi luottamuksellisia tietoja laskutuksesta, sopimuksista, transaktioista, asiakkaista ja kumppaneista.

EDP vahvisti, että hyökkäys oli tapahtunut. He kuitenkin sanoivat, että mitään näyttöä arkaluontoisten asiakastietojen vuodosta ei ollut. Siltä varalta, että asiakastietojen varkaus tulisi ilmi tulevaisuudessa, yritys tarjosi asiakkaille vuodeksi maksuttoman Experian-henkilöllisyyssuojan.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Fortune 500 -listaan lukeutuva yritys Cognizant, joka tarjoaa IT-palveluita eri alojen yrityksille paljasti joutuneensa kiristysohjelmahyökkäyksen kohteeksi. Hyökkäys vaikutti yrityksen sisäisiin järjestelmiin ja tuhosi sisäisen hakemiston keskeyttäen palvelut asiakkaille. Heinäkuun lopulla Cognizantin vuoden 2020 toisen neljänneksen tulosraportista kävi ilmi, että yrityksen liikevaihto oli laskenut kaikissa liiketoimintaryhmissä 3,4 % neljään miljardiin dollariin. Se johtui osittain huhtikuun kiristysohjelmahyökkäyksestä.

Kiristysohjelmahyökkäykset toukokuussa 2020

5. Grubman Shire Meiselas & Sacks -yritykseen kohdistunut kiristysohjelmahyökkäys

Toukokuussa New Yorkissa sijaitseva lakifirma Grubman Shire Meiselas & Sacks, jonka asiakaskuntaan lukeutuu kuuluisuuksia kuten Madonna, Elton John ja Robert DeNiro, joutui REVil-kiristysohjelman uhriksi.

Kyberhyökkääjät väittivät käyttäneensä REvil- tai Sodinokobi-kiristysohjelmaa varastaakseen henkilökohtaisia tietoja mukaan lukien asiakassopimukset, puhelinnumerot, sähköpostiosoitteet, henkilökohtaiset viestit ja salassapitosopimukset. Hyökkääjät uhkasivat julkaista tiedot yhdeksässä vaiheessa, ellei yhteensä 21 miljoonan dollarin lunnaita maksettaisi. Vaatimus tuplattiin 42 miljoonaan dollariin, kun lakifirma kieltäytyi maksamasta.

Hyökkäyksestä kärsivät myös kuuluisuudet kuten Bruce Springsteen, Lady Gaga, Nicki Minaj, Mariah Carey ja Mary J. Blige. Lakifirma kieltäytyi neuvottelemasta hyökkääjien kanssa ja kutsui FBIn tutkimaan tilannetta.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Michigan State Universityyn iski NetWalker-kiristysohjelma. NetWalker, jota kutsutaan myös nimellä Mailto, on kiristysohjelma, jota käytettiin ensimmäistä kertaa elokuussa 2019. Hyökkääjät vaativa yliopistoa maksamaan viikon sisällä lunnaat saadakseen salatut tiedostot takaisin käyttöönsä. Muuten hyökkääjät uhkasivat vuotaa MSU-yliopiston opiskelijoiden henkilökohtaiset ja pankkitiedot. Yliopisto päätti olla maksamatta lunnaita poliisin neuvojen mukaisesti.

Kiristysohjelmahyökkäykset kesäkuussa 2020

6. Hondaan kohdistunut kiristysohjelmahyökkäys

Kesäkuussa autonvalmistajajätti Honda kärsi Snake-kiristysohjelman (joka tunnetaan myös nimellä Ekans) kiristysohjelmahyökkäyksestä, joka kohdistui yrityksen toimipisteisiin Yhdysvalloissa, Euroopassa ja Japanissa. Kun hyökkäys havaittiin, Honda pysäytti tuotannon tietyissä toimipisteissä selvittääkseen tietokoneverkon häiriöt. Hakkerit pääsivät kiristysohjelmalla käsiksi Hondan sisäiseen palvelimeen ja salasivat sen. He vaativat lunnaita salausavainta vastaan. Honda tiedotti myöhemmin, että hyökkääjät eivät olleet näyttäneet todisteita henkilötietojen menettämisestä.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• NetWalker-kiristysohjelmajengi hyökkäsi Columbia College Chicago -yliopistoa vastaan ja uhkasi myydä opiskelijoiden tiedot pimeässä verkossa, jos lunnaita ei maksettaisi kuuden päivän kuluessa. Yliopisto myönsi, että hyökkäyksessä oli päästy käsiksi joidenkin käyttäjien henkilötietoihin. Siitä ei kuitenkaan ole tietoa päättivätkö he maksaa lunnaat vai neuvotella hyökkääjien kanssa.

Kiristysohjelmahyökkäykset heinäkuussa 2020

7. Orange-yritykseen kohdistunut kiristysohjelmahyökkäys

Ranskalainen tietoliikenneyritys ja Euroopan neljänneksi suurin matkaviestinoperaattori Orange joutui Nefilim-kiristysohjelman uhriksi heinäkuussa. Yrityksen liiketoimintaosastoon murtauduttiin ja Orange lisättiin pimeän verkon Nefilim-sivustolle, joka kertoi tarkasti yritysvuodosta heinäkuun 15. päivä. Esimerkkitiedostot, jotka Nefilim-ryhmä sanoi varastaneensa Orangen asiakkailta sisältyivät 339 Mt:n arkistoon.

Nefilim on suhteellisen uusi kiristysohjelmaoperaattori, joka löydettiin vuonna 2020. Orange tiedotti, että yrityksen liiketoimintaosastolla noin 20 yritystason asiakkaan tiedot altistuivat.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Lafayetten kaupunki Coloradossa tiedotti elokuussa maksaneensa 45 000 dollarin lunnaat kiristysohjelmaoperaattoreille sen jälkeen, kun kaupungin laitteet ja data salattiin kiristysohjelmalla. Summa maksettiin purkuavaimen saamiseksi sen jälkeen, kun kaupunki ei kyennyt palauttamaan järjestelmiään varmuuskopioistaan. He päättivät maksaa lunnaat pitkien palvelukatkojen minimoimiseksi. Vaikka he eivät määrittäneet, minkälaisesta kiristysohjelmasta oli kyse, tiedotteesta kävi ilmi, että kiristysohjelma katkaisi kaupungin verkkojärjestelmien toiminnan. Se vaikutti kaikkeen verkkomaksujärjestelmistä sähköposti- ja puhelinpalveluihin. Oletettavasti hyökkäyksen aiheutti tietojenkalasteluhuijaus tai mahdollisesti väsytysmenetelmähyökkäys.

Kiristysohjelmahyökkäykset elokuussa 2020

8. Utahin yliopistoon kohdistunut kiristysohjelmahyökkäys

Elokuussa tiedotettiin, että Utahin yliopisto oli maksanut 457 000 dollarin lunnaat kyberrikollisille estääkseen heitä julkaisemasta luottamuksellisia tiedostoja, jotka oli varastettu kiristysohjelmahyökkäyksessä. Hyökkäys salasi yliopiston yhteiskunta- ja käyttäytymistieteellisen tiedekunnan palvelimet. Hyökkäyksen aikana rikolliset varastivat salaamattomat tiedot ennen kuin ne siirtyivät salaaviin tietokoneisiin.

Varastetut tiedot sisälsivät opiskelijoiden ja työntekijöiden tietoja, joten yliopisto päätti maksaa lunnaat välttääkseen tietojen vuodon. Yliopisto neuvoi kaikkia altistuneen tiedekunnan opiskelijoita ja työntekijöitä valvomaan luottotietojaan laittomien toimien varalta ja vaihtamaan verkossa käyttämänsä salasanat.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• R1 RCM Inc. -yritykseen kohdistui kiristysohjelmahyökkäys. Yritys − aiemmalta nimeltään Accretive Health Inc. − on yksi Yhdysvaltojen suurimmista lääkinnällisten saatavien perintäyrityksistä. Heillä on sopimus yli 750:n yhdysvaltalaisen terveydenhuoltoalan organisaation kanssa ja he käsittelevät kymmenien miljoonien potilaiden henkilökohtaisia ja terveyteen liittyviä tietoja. R1 RCM Inc. päätti olla julkaisematta tietoja altistumisesta mukaan lukien mihin järjestelmiin tai tietoihin se oli kohdistunut. Yritys kuitenkin tiedotti, että hyökkäykseen oli käytetty Defray-kiristysohjelmaa. Se on kohdistettu kiristysohjelma, joka leviää yleensä tietojenkalastelusähköpostien välityksellä.

Kiristysohjelmahyökkäykset syyskuussa 2020

9. K-Electriciin kohdistunut kiristysohjelmahyökkäys

Syyskuussa K-Electricin, Pakistanin Karachin kaupungin ainoan energianjakeluyhtiön kerrottiin joutuneen Netwalker-kiristysohjelmahyökkäksen uhriksi. Se keskeytti energiayhtiön laskutus- ja verkkopalvelut.

Lunnasoperaattorit vaativat K-Electriciä maksamaan 3,85 miljoonan dollarin lunnaat varoittaen, että summa nousisi 7,7 miljoonaan dollariin, jos lunnaita ei maksettaisi viikon kuluessa. Netwalker julkaisi 8,5 Gt:n suuruisen tiedostoarkiston, joka oli oletettavasti varastettu hyökkäyksen aikana. Tietoihin sisältyi taloudellisia ja asiakastietoja.

Netwalker oli aiemmin hyökännyt Argentiinan maahanmuuttotoimistoihin, useisiin Yhdysvaltojen hallituksen virastoihin ja Kalifornian San Franciscon yliopistoon (joka maksoi yli miljoonan dollarin lunnaat).

K-Electric myönsi kyberhyökkäyksen tapahtuneen, mutta kaikkien kriittisten asiakaspalvelujen olevan täysin toiminnassa.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Kiristysohjelmahyökkäyksen seurauksena Louisianan neljännen piirituomioistuimen verkkosivuille murtauduttiin ja arkaluontoisia asiakirjoja julkaistiin. Hyökkäykseen käytettiin suhteellisen uutta kiristysohjelmaa nimeltä Conti. Hakkerit julkaisivat pimeän verkon sivuillaan dokumentteja koskien keskeneräisten oikeustapausten todistajia, lautamiehiä ja puolustajia.

Kiristysohjelmahyökkäykset lokakuussa 2020

10. Press Trust of Indiaan kohdistunut kiristysohjelmahyökkäys

Lokakuussa hakkerit murtautuivat Press Trust of India (PTI) -uutistoimiston palvelimiin häiriten sen palveluja tuntien ajan. Yhtiön tiedottaja kuvaili tapausta massiiviseksi kiristysohjelmahyökkäykseksi, joka keskeytti toiminnot ja uutisten jakelun tilaajille kautta Intian.

LockBit-kiristysohjelma on haitallinen ohjelmisto, joka on suunniteltu estämään käyttäjän pääsy tietokonejärjestelmiin, kunnes hän maksaa lunnassumman.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Yksi maailman suurimmista ohjelmistoyrityksistä, Software AG, kärsi Clop-kiristysohjelmajengin hyökkäyksestä. Jengi vaati yli 20 miljoonan dollarin lunnaat. Neuvotteluiden epäonnistuttua jengi julkaisi pimeässä verkossa kuvankaappauksia yrityksen tiedoista. Ne sisälsivät mm. työntekijöiden passien ja henkilökorttien skannattuja kuvia, työntekijöiden sähköposteja, taloudellisia asiakirjoja ja yrityksen sisäisen verkon hakemistoja.

Kiristysohjelmahyökkäykset marraskuussa 2020

11. Brasilian korkeimpaan oikeuteen kohdistunut kiristysohjelmahyökkäys

Marraskuussa Brasilian korkeimman oikeuden kyberinfrastuktuuri kärsi massiivisesta kiristysohjelmahyökkäyksestä, joka pakotti sen sulkemaan verkkosivunsa.

Kiristysohjelmahyökkääjät julistivat, että tuomioistuimen koko tietokanta oli salattu ja että sitä olisi turha yrittää palauttaa. Hakkerit jättivät lunnasviestin, jossa tuomioistuinta pyydettiin ottamaan heihin yhteyttä protonmail-sähköpostiosoitteeseen. Lisäksi hakkerit pyrkivät hyökkäämään useisiin muihin Brasilian hallituksen verkkosivustoihin.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Manchester United Football Club päätyi otsikoihin, kun paljastui, että klubi oli kärsinyt kyberhyökkäyksen. Kun hyökkäys paljastui monimutkaiseksi kiristysohjelmaksi, klubi ilmoitti, että he olivat hyvin valmistautuneet kattavilla protokollilla ja käytännöillä vastaavien tilanteiden varalta. Klubin kybersuojaus tunnisti hyökkäyksen ja sulki altistuneet järjestelmät vaurioiden eristämiseksi ja tietojen suojaamiseksi.

Kiristysohjelmahyökkäykset joulukuussa 2020

12. GenRx Pharmacyyn kohdistunut kiristysohjelmahyökkäys

Joulukuussa Arizonassa sijaitseva GenRx Pharmacy varoitti satoja tuhansia potilaitaan mahdollisesta tietomurrosta sen jälkeen, kun yritys oli joutunut kiristysohjelmahyökkäyksen uhriksi. Apteekki tiedotti, että hakkerit olivat onnistuneet poistamaan tiedostoja, joihin sisältyi terveydenhuollon tietoja, joita yritys käytti käsitelläkseen ja lähettääkseen potilaille määrättyjä tuotteita.

Muita tämän kuun merkittäviä kiristysohjelmahyökkäyksiä olivat mm.:

• Nefilim-jengi hyökkäsi kiristysohjelmalla kotitalouskoneita valmistavan suuryritys Whirlpoolin järjestelmään varastaen tietoja ja salaten sitten laitteet. Myöhemmin hakkerit julkaisivat varastetut tiedot. Niihin sisältyi tietoja työntekijöiden eduista, lääketieteellisten tietojen pyyntöjä ja taustojen tarkistuksia.

Viimeisimmät kiristysohjelmahyökkäykset ovat yhä valikoivimpia sen suhteen, ketä kohtaan ne hyökkäävät ja kuinka paljon lunnaita ne vaativat. Kaspersky’s Anti-Ransomware Tool tarjoaa suojan sekä kotitalouksille että yrityksille. Samoin kuin muidenkin kyberturvallisuusuhkien kohdalla, suojauksen avainasemassa on tarkkaavaisuus.

Aiheeseen liittyvät artikkelit:

• Millaisia kiristysohjelmia on olemassa?
• Pahimmat kiristysohjelmahyökkäykset
• Kiristysohjelmahyökkäysten estäminen
• Tietovarkaus ja tietojen menetys