Etsi

Tietoturva

Tietoturvaekspertti varoittaa: Petya vasta alkusoittoa, lisää on tulossa

Uusin verkkohyökkäys eroaa aikaisemmasta, laajaa tuhoa aiheuttaneesta Wannacrystä siinä, että sen takana on aktiivinen rikollisryhmä. Asiantuntijan mukaan lisää harmeja on luvassa.

Petya-kiristyshaittaohjelma on iskenyt erityisesti isoihin kansainvälisiin yrityksiin. Suomessa on toistaiseksi selvitty vähällä.

– Tiedossamme ei ole yhtäkään tapausta, jossa Petya olisi iskenyt omiin asiakkaisiimme, F-Securen johtava tutkija Jarno Niemelä kommentoi.

Viestintäviraston mukaan Petya on levinnyt pääsääntöisesti Ukrainassa käytössä olleen kirjanpito-ohjelmiston kautta. Vaikutukset ovat sen takia kohdistuneet pääasiassa ukrainalaisiin yrityksiin. Suomessa on raportoitu joistakin yksittäistapauksista.

Niemelän mukaan Petya eroaa toukokuussa laajaa tuhoa maailmalla aiheuttaneesta Wannacry-kiristyshaittaohjelmasta siinä, että sen takana on aktiivinen rikollisryhmä.

– Tarkoituksena on tunkeutua yrityksiin ja käyttää sisäverkoissa Wannacrysta tuttuja haavoittuvuuksia, mutta keinot ovat erilaisia. Tällä hetkellä ei täysin tiedetä, mitä nämä keinot ovat. Hypoteesi on se, että rikolliset lähettävät sähköpostitse tartunnan sisältäviä dokumentteja ja sen jälkeen kun kone on tarttunut, lähdetään levittämään haittaohjelmaa yritysverkon sisällä.

Petya eroaa Wannacrystä myös siinä, että tällä kertaa kaapattuja tietoja ei saa takaisin edes rahalla. Syynä on sähköpostipalvelun palveluntarjoajan päätös sulkea lunnasvaatimuksessa mainittu sähköpostiosoite.

– Yleisesti ottaen voi sanoa, että näissä tapauksissa alkaa olla enemmänkin poikkeus kuin sääntö, että kaapatut tiedot saa takaisin. Rikollisille maksamisen ei pitäisi koskaan olla hyväksyttävä keino, mutta se voi olla ainoa keino.

"Nämä eivät lopu"

Wannacry-hyökkäyksessä Suomi selvisi pahimmalta ja samoin näyttää käyneen Petyan tapauksessa. 

– Koska Petya perustuu hyvin pitkälle samanlaisiin tekniikoihin kuin Wannacry, päivitykset suojaavat pitkälle. Jos Wannacryn jälkeen on tehnyt tarvittavat suojaustoimet, ei pitäisi olla huolta. Jos koneissa joutuu käyttämään domain- tai muuta ylläpitotunnusta, kone tulisi käynnistää tunnuksen käyttämisen jälkeen, jotta se ei jää muistiin varastettavaksi.

Niemelän mukaan Windows-päivitysten asentaminen, palomuuriasetusten tarkistaminen ja kunnollisen virustorjuntaohjelmiston käyttäminen ovvat parhaat suojautumiskeinot. Hän uskoo, että lisää haittaohjelmien hyökkäyksiä nähdään pian.

– Nämä eivät lopu. Wannacry aloitti uuden trendin, jossa rikolliset kopioivat menetelmiä toisiltaan. Seuraavaksi rikolliset alkavat tutkia muita mahdollisia hyökkäysreittejä. Windowsissa on valtava määrä huonosti päivitettyjä haavoittuvuuksia.

Yrityksissä merkittävä ongelma on Niemelän mukaan se, että kaikkien koneiden takuuehdot eivät salli päivitysten tekemistä. Osa koneista ei välttämättä kestä päivityksen asentamista.

– Tällaiset koneet ovat erikoistapauksia, esimerkiksi osana lääketieteellistä järjestelmää, tehdasautomaatiota tai muuta kriittista infrastruktuuria. Yleissääntönä on, että mitä kriittisempi ja erikoisempi järjestelmä, sitä suuremmalla todennäköisyydellä yrityksen tietohallinnon kädet ovat joko osittain tai kokonaan sidottu.

– Muistuttaisin, että kaikki käyttöjärjestelmät ovat vaarallisia ilman ylläpitoa, myös Linux. Esimerkiksi Windows on hetken aikaa turvallinen, mutta ei enää kahden vuoden päästä.

Pauli Reinikainen