Mitä ovat kiristysohjelmat?

Kiristysohjelmien päämuotoja on kaksi: salaavat kiristysohjelmat ja lukitsevat kiristysohjelmat. Nämä voidaan lisäksi lajitella useisiin alaluokkiin.

Salaavat kiristysohjelmat
Salaavalla kiristysohjelmalla tehdyssä hyökkäyksessä hyökkääjä salaa uhrin luottamuksellisia tietoja tai tiedostoja niin, ettei tämä pääse niihin käsiksi ennen lunnassumman maksamista. Teoriassa hyökkääjä antaa uhrille lunnasrahat saatuaan salauksen purkuavaimen, joka antaa pääsyn tiedostoihin tai tietoihin, mutta tästä ei ole mitään takeita. Monet organisaatiot ovat menettäneet tiedostojensa käyttöoikeuden pysyvästi kiristyssumman maksamisen jälkeenkin.

Lukitsevat kiristysohjelmat
Lukitsevalla kiristysohjelmalla tehdyssä hyökkäyksessä pahantahtoiset toimijat lukitsevat uhrin ulos laitteestaan ja esittävät näytöllä kiristysviestin, jossa on ohjeet lunnaiden maksamiseen käyttöoikeuden palauttamiseksi. Tämäntyyppiseen kiristysohjelmaan ei yleensä liity salausta, joten kun uhri saa uudelleen pääsyn laitteeseensa, luottamukselliset tiedostot ja tiedot säilyvät. Lukitsevia kiristysohjelmia käytetään yleisesti mobiililaitteissa.

Nämä kaksi pääasiallista kiristysohjelmien muotoa jakautuvat seuraaviin alatyyppeihin:

Pelotteluohjelma
Pelotteluohjelma käyttää pelkoa saadakseen ihmiset maksamaan lunnaat. Tällaisissa kyberhyökkäyksissä pahantahtoiset toimijat esittävät lainvalvojia ja lähettävät uhrille viestin, jossa syytetään heitä rikoksesta ja vaaditaan sakkoa.

Doksaus
Doksauksessa pahantahtoiset toimijat varastavat henkilökohtaisia tietoja ja uhkaavat paljastaa ne julkisesti, jos lunnaita ei makseta.

Kaksinkertainen kiristysohjelma
Kaksinkertaisessa kiristysohjelmassa hyökkääjät eivät ainoastaan salaa tiedostoja, vaan myös varastavat arkaluontoisia tietoja ja uhkaavat julkaista ne, jos lunnaita ei makseta.

Tyhjennysohjelma
Tyhjennysohjelmat uhkaavat tuhota uhrin tiedot, jos lunnaita ei makseta.

Useimmat kiristysohjelmahyökkäykset noudattavat kolmivaiheista prosessia.

1. Käyttöoikeuksien hankkiminen
Pahantahtoiset toimijat käyttävät erilaisia menetelmiä saadakseen pääsyn yrityksen luottamuksellisiin tietoihin. Yksi yleisimmistä on tietojen kalastelu, joka tarkoittaa sitä, että kyberrikolliset käyttävät sähköpostia, tekstiviestejä tai puheluita huijatakseen ihmisiä antamaan tunnistetietonsa tai lataamaan haittaohjelmia. Pahantahtoiset toimijat valitsevat kohteekseen myös työntekijöitä ja muita käyttäjiä haitallisilla sivustoilla, jotka käyttävät niin sanottua hyökkäyspakettia haittaohjelmien automaattiseen lataamiseen ja asentamiseen käyttäjän laitteeseen.

2. Tietojen salaaminen
Kun hyökkääjät pääsevät käsiksi arkaluontoisiin tietoihin, he kopioivat ne ja tuhoavat alkuperäiset tiedostot sekä kaikki varmuuskopiot, joihin he ovat saaneet pääsyn. Tämän jälkeen he salaavat kopionsa ja luovat salauksen purkuavaimen.

3. Lunnaiden vaatiminen
Kun tietojen käyttö on estetty, kiristysohjelma toimittaa ilmoituksena viestin. Viestissä kerrotaan tietojen salaamisesta ja pyydetään rahaa, yleensä kryptovaluutassa, vastineeksi salauksen purkuavaimesta. Näiden hyökkäysten takana olevat pahantahtoiset toimijat saattavat myös uhata julkaista tiedot, jos uhri ei suostu maksamaan.

Välittömän toiminnan keskeytymisen lisäksi kiristysohjelmahyökkäyksen seurauksia voivat olla merkittävät taloudelliset menetykset, mainevahingot ja pitkän aikavälin toiminnalliset haasteet.

Taloudelliset vaikutukset
Lunnaiden maksamisen kustannukset voivat olla huomattavat. Usein kyse on miljoonista dollareista. Ei ole mitään takeita siitä, että hyökkääjät antavat salauksen purkuavaimen tai että se toimii oikein.

Vaikka organisaatiot kieltäytyisivät maksamasta lunnaita, niille voi aiheutua suuria taloudellisia kustannuksia. Kiristysohjelmahyökkäyksen aiheuttama häiriö voi johtaa pitkittyneeseen käyttökatkoon, joka vaikuttaa tuottavuuteen ja saattaa johtaa tulojen menettämiseen. Hyökkäyksestä palautumiseen liittyy lisäkuluja, kuten tutkimusten kustannukset, juridiset maksut ja sijoitukset parannettuihin turvatoimiin.

Mainevahingot
Asiakkaat ja kumppanit saattavat menettää luottamuksensa yritykseen, joka on vaarantunut, mikä johtaa asiakasuskollisuuden heikkenemiseen ja mahdolliseen tulevan liiketoiminnan menetykseen. Korkean profiilin hyökkäykset herättävät usein mediahuomiota, mikä voi vahingoittaa yrityksen mainetta ja brändikuvaa.

Toiminnalliset haasteet
Varmuuskopioista huolimatta on olemassa tietojen menettämisen tai vioittumisen riski, joka voi vaikuttaa liiketoiminnan jatkuvuuteen ja toiminnan tehokkuuteen. Yritykset saattavat myös kohdata oikeudellisia ja säädöksiä koskevia rangaistuksia arkaluontoisten tietojen suojaamisen epäonnistumisesta erityisesti, jos niihin sovelletaan tietosuojasäädöksiä, kuten Euroopan unionin yleistä tietosuoja-asetusta tai Kalifornian kuluttajien tietosuojalakia.

Monissa ihmisten ohjaamissa kiristysohjelmien avulla tehdyissä korkean profiilin hyökkäyksissä tekijöinä ovat kiristysohjelmaryhmät, jotka toimivat käyttämällä kiristysohjelmat palveluna -liiketoimintamallia.

 

• Vuodesta 2019 lähtien LockBit on ottanut kohteekseen eri sektoreita, kuten rahoituspalveluita, terveydenhuoltoa ja valmistusta. Tämä kiristysohjelma tunnetaan kyvystään levittää itseään verkoissa, mikä tekee siitä erityisen vaarallisen. LockBitin kumppanit ovat olleet vastuussa useista korkean profiilin hyökkäyksistä, joissa on käytetty kehittyneitä tekniikoita tietojen salaamiseen ja lunnaiden vaatimiseen. 
• BlackByten hyökkäyksiin liittyy usein kaksinkertainen kiristys, jossa kyberrikolliset salaavat ja keräävät tietoja luvattomasti ja uhkaavat julkaista varastetut tiedot, jos lunnaita ei makseta. Tällä kiristysohjelmalla on isketty infrastruktuurin kriittisiin sektoreihin, kuten julkishallintoon ja rahoituspalveluihin.
• Kesäkuun 2021 ja tammikuun 2023 välisenä aikana toimineen Hive-kiristysohjelman takana oleva ryhmä käytti kaksinkertaista kiristystä ja kohdisti iskunsa yleensä julkisiin laitoksiin ja kriittiseen infrastruktuuriin, mukaan lukien terveydenhuollon laitoksiin. FBI soluttautui Hiven verkkoon vuonna 2022 ja sai salausavaimia sekä esti yli 130 Yhdysvaltain dollarin kiristysvaatimukset. Tätä pidetään merkittävänä voittona kyberrikollisuutta vastaan. 
• Akira-kiristysohjelma on kehittynyt haittaohjelma, joka on ollut aktiivinen vuoden 2023 alusta alkaen ja jonka kohteena ovat sekä Windows- että Linux-järjestelmät. Pahantahtoiset toimijat käyttävät Akiraa saadakseen käyttöoikeuden VPN-palveluiden heikkouksien kautta, erityisesti silloin, kun käytössä ei ole monimenetelmäistä todentamista. Toiminta-aikanaan Akira on vaikuttanut yli 250 organisaatioon ja saanut kiristettyä lunnaita noin 42 miljoonan Yhdysvaltain dollarin edestä.

 

Jos joudut kiristysohjelmahyökkäyksen uhriksi, sinulla on mahdollisuuksia tilanteen parantamiseen ja ongelman poistamiseen.

Eristä tartunnan saaneet tiedot
Eristä altistuneet tiedot niin pian kuin mahdollista, jotta kiristysohjelma ei leviäisi verkkosi muihin alueisiin.

Suorita haittaohjelmien torjuntaohjelma
Kun olet eristänyt kaikki tartunnan saaneet järjestelmät, poista kiristysohjelma haittaohjelmien torjuntaohjelmalla.

Pura tiedostojen salaus tai palauta varmuuskopiot
Jos mahdollista, pura tiedostojen salaus maksamatta lunnaita käyttämällä lainvalvontaviranomaisten tai tietoturvatutkijoiden tarjoamia työkaluja salauksen purkamiseen. Jos salauksen purkaminen ei ole mahdollista, palauta tiedostot varmuuskopioista.

Ilmoita hyökkäyksestä
Ilmoita hyökkäyksestä paikalliselle tai valtiolliselle lainvalvontaviranomaiselle. Yhdysvalloissa näitä ovat FBI:n paikallinen kenttätoimisto, IC3 ja Secret Service. Vaikka tämä vaihe ei todennäköisesti ratkaise välittömiä huoneaiheitasi, se on tärkeä, sillä nämä viranomaiset seuraavat ja valvovat aktiivisesti erilaisia hyökkäyksiä. Tiedot kokemuksestasi voivat olla arvokkaita kyberrikollisen tai -rikollisryhmän löytämisessä ja syytteen nostamisessa.

Ole varovainen lunnassumman maksamisen osalta
Vaikka voi olla houkuttelevaa maksaa lunnassumma, ei ole mitään takeita siitä, että kyberrikolliset pitäisivät sanansa ja antaisivat sinulle tietojesi käyttöoikeuden. Tietoturva-asiantuntijat ja lainvalvontaviranomaiset suosittelevat, etteivät kiristysohjelmahyökkäysten uhrit maksaisi vaadittua lunnassummaa, koska se voi jättää uhrit alttiiksi tulevaisuuden uhkille ja tukea aktiivisesti rikollista toimialaa.

Tietoturvatutkijat odottavat kiristysohjelmien yleistyvän ja kehittyvän monimutkaisemmiksi tulevina vuosina. Tekoälyn edistyminen auttaa kyberrikollisia automatisoimaan ja kehittämään kiristysohjelmiaan nopeasti. Mukaan pääsevät yhä useammat henkilöt, joiden tekniset taidot ovat rajalliset, koska he voivat ostaa tekoälypohjaisia kiristysohjelmatyökaluja pimeästä verkosta tai tehdä yhteistyötä kiristysohjelmia palveluna toimittavan organisaation kanssa.

Suuret ja kehittyneemmät kyberrikollisten organisaatiot, mukaan lukien kansallisvaltiotoimijat, kohdistavat yhä enemmän toimia kriittiseen infrastruktuuriin ja toimitusketjuihin, mikä johtaa merkittäviin häiriöihin kuntien ja yritysten toiminnassa. Nämä entiteetit ottavat usein kohteekseen hallituksen, kuljetusjärjestelmän tai terveydenhuollon laitoksen ja pyrkivät lamauttamaan palvelut.

Näiden kehittyvien uhkien torjuntaa varten organisaatiot ottavat käyttöön kyberturvallisuuden tekoälyn, jonka avulla ne voivat havaita kiristysohjelmahyökkäykset ja reagoida niihin nopeasti ja tehokkaasti. Nämä tekniikat analysoivat suuria tietomääriä tunnistaakseen mallit ja poikkeamat, jotka saattavat viitata kiristysohjelmahyökkäykseen. Monet näistä ratkaisuista voivat myös reagoida automaattisesti havaittuihin uhkiin, mikä lyhentää hyökkäyksen lieventämiseen kuluvaa aikaa.

Zero Trust -suojausmalli nostaa myös asemaansa kyberturvallisuuden parantamisessa ja kiristysohjelmien ja muiden haitallisten toimintojen levittämisen rajoittamisessa.