tag kyberhyökkäys

2 artikkelia

Vakava tietomurto valtion palvelimilla

Kolmelle Valtorin palvelimelle ehdittiin murtautua.

Artikkeliin liittyvä kuva
Artikkeliin liittyvä kuva

Valtion tieto- ja viestintätekniikkakeskus Valtori tiedotti torstaina valtionhallinnon yhteisessä it-ympäristössä todetusta haavoittuvuudesta. Kolmeen Valtorin kymmenestä palvelimesta oli päästy sisälle.

Palvelinsovelluksessa ollut haavoittuvuus kosketti useita valtionhallinnon virastoja, joihin Valtori on ollut yhteydessä. Virastoja on alle kymmenen, eikä haavoittuvuus koske esimerkiksi Turvallisuusverkkopalveluita eli Puolustusvoimia, rajavartiolaitosta tai poliisia. Asiasta on tehty rikosilmoitus ja ilmoitettu myös Suojelupoliisille ja Tietosuojavaltuutetun toimistolle.

Valtori kertoo tiedotteessa saaneensa tiedon vakavasta etäkäyttöpalvelun haavoittuvuudesta Kyberturvallisuuskeskukselta ja palvelutoimittaja Telialta tiistaina 20. huhtikuuta hieman ennen kello 19.30 illalla.

Kello 21.50 mennessä Valtori oli palvelutoimittajan kanssa suojannut jo kaikki palveluun liittyvät palvelinsovellukset haavoittuvuudelta niin sanotulla konfiguraatiomuutoksella. Asiakkaat, joita tilanne koski, saivat asiasta tiedon heti.

LUE MYÖS:

Entä jos sisäverkko ei olekaan turvallinen? Zero trust -mallissa epäillään kaikkia

Sase turvaa verkkoa – kuuma tekniikka nostattaa myös soraääniä

”Vuorokauden sisällä laitetoimittajan eheystyökalun avulla saatiin selville, että kolmeen Valtorin palvelimeen olisi mahdollisesti päästy sisälle. Tämä on kuitenkin vasta epäily. Myöskään sitä, onko tästä päästy mahdollisesti eteenpäin, ei vielä tiedetä. Tätä selvitetään parhaillaan yhdessä palvelutoimittaja Telian, Keskusrikospoliisin ja Kyberturvallisuuskeskuksen kanssa. Tutkinnallisista syistä yksityiskohdista ei voida kertoa tarkemmin”, Valtorin vt. toimitusjohtaja Mikko Vuorikoski kertoo tiedotteessa.

Tällä hetkellä tutkitaan, ovatko hyökkääjät päässeet palvelimilta syvemmälle järjestelmiin. Pahimmassa tapauksessa tunkeutuja voisi saada haltuunsa asiakkaiden tietoja.

Mahdollisesti hyväksikäytetyt palvelimet on poistettu käytöstä ja tilalle on rakennettu puhtaat palvelimet. Varotoimenpiteenä kaikkia Etäkäyttöpalvelu Kaukoa käyttäviä organisaatioita pyydettiin torstaina vaihtamaan työaseman salasana.

Valtorin mukaan kyseessä oli maailmanlaajuinen haavoittuvuus, johon ei ole vielä kattavaa korjauspäivitystä. Tiedotteen lisätiedoissa mainitaan Pulse Connect Secure -etäkäyttösovellus, jonka haavoittuvuudesta uutisoimme keskiviikkona.

Vuorikoski on kommentoinut Demokraatille tietomurron vaikuttavan ammattimaiselta. Hän ei turvallisuussyistä ole kertonut, mitkä valtion virastot ovat käyttäneet murrettuja palvelimia.

Tietomurto voi koskettaa kuitenkin jopa tuhansia valtion työntekijöitä. Valtorin palveluja käyttää yhteensä noin 84 000 ihmistä.

”Totta kai tällainen aukko on aina vakava. Se on altistanut tietyn osan virastoista sille, että heidän järjestelmiinsä voisi joku päästä käsiksi”, Vuorikoski totesi Demokraatille.

LÄHDE: TIVI/Antti Kallio 23.04.2021

Kyberhyökkäykset sairaaloihin

Varoitus: kyberhyökkäyksistä sairaaloihin tulossa globaali trendi, kasvu Euroopassa ”hälyttävää”

Tilanne Yhdysvalloissa on vielä kehnompi.

Uhka. WannaCry-kiristyshaittaohjelma iski pahanpäiväisesti brittien National Health Serviceen toukokuussa 2017. ANDY RAIN
Uhka. WannaCry-kiristyshaittaohjelma iski pahanpäiväisesti brittien National Health Serviceen toukokuussa 2017. ANDY RAIN

Sairaaloihin ja terveydenhuollon toimijoihin kohdistuvat, kiristyshaittaohjelmilla tehdyt hyökkäykset ovat voimakkaasti yleistymässä, varoittaa tietoturvayhtiö Check Point.

Trendin takana ovat kaksi maailman käytetyintä haittaohjelmaa, Trickbot- ja Emotet-troijalaiset.

Check Pointin mukaan lokakuussa Yhdysvalloissa kiristyshyökkäykset kohdistuivat eniten terveydenhuoltoalaan, ja ne lisääntyivät 71 prosenttia syyskuuhun 2020 verrattuna.

Euroopan ja Lähi-idän alueella kiristyshyökkäykset terveydenhuollon organisaatioihin ja sairaaloihin kasvoivat maltillisemmin, mutta kehitys on Check Pointin mukaan silti hälyttävää. Kasvu oli lokakuussa 36 prosenttia ja vastaavasti Aasian ja Tyynenmeren alueella 33 prosenttia. Yhtiön mukaan hyökkäyksistä onkin tulossa globaali trendi.

”Kiristyshyökkäykset ovat lisääntyneet koronaviruspandemian alusta lähtien, ja ne yrittävät hyödyntää etätyön yleistymisen myötä syntyneitä tietoturva-aukkoja. Etenkin terveydenhuoltoalaan kohdistuvat hyökkäykset ovat lisääntyneet huolestuttavasti viimeisten kolmen kuukauden aikana, ja niiden takana ovat usein TrickBot- ja Emotet-tartunnat. Kehotamme kaikkia terveydenhuollon organisaatioita olemaan erityisen valppaina tämän riskin suhteen ja ehkäisemään näitä tartuntoja ennen kuin ne voivat aiheuttaa todellisia vahinkoja portteina kiristyshyökkäyksiin”, ohjeistaa Check Pointin Suomen ja Baltian maajohtaja Sampo Vehkaoja tiedotteessa.

Suomessa Trickbot oli lokakuun kolmanneksi yleisin haittaohjelma, ja sitä esiintyi yli viidessä prosentissa yritysverkoista. Suomen listakärjessä oli Android-haittaohjelma Hiddad, esiintyvyys yli 10 prosenttia.

Suomen yleisimmät haittaohjelmat lokakuussa 2020 (Check Pointin tilasto):

1.Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys Suomessa 10,28 %.

2.Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 5,93 %.

3.TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 5,53 %.

4.Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 4,74 %.

5.Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 4,74 %.

6.XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,16 %.

7.Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,98 %.

8.Mofksys – Esiintyvyys 1,58 %.

9.FalloutEk –Esiintyvyys 1,58 %.

10.Maze – Ensimmäisen kerran vuonna 2019 havaittu kiristysohjelma, joka käyttää kaksoiskiristys-strategiaa. Kiristäjät avasivat erillisen verkkosivun, jossa he uhrien tietojen salaamisen lisäksi alkoivat julkaista uhreilta varastettuja arkaluonteisia tietoja, jos nämä kieltäytyivät maksamasta lunnaita. Esiintyvyys 1,19 %.

11.Resur ja RigEK. Molempien esiintyvyys 1,19 %.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet lokakuussa 2020 (Check Point):

1.Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 12 %.

2.Trickbot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 4 %.

3.Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys 4 %.

Lue lisää:

Rikolliset suosivat huijauksissaan näitä brändejä – kärkipaikalla Microsoft

Kova väite: sadoista miljoonista Android-puhelimista voidaan tehdä salaa vakoilutyökalu

Zoomista löytyi tietoturvaongelma: Hakkerit olisivat voineet lähettää väärennettyjä Zoom-kokouskutsuja yritysten nimissä

Windowsista löytyi järkyttävä tietoturva-aukko: Korkein mahdollinen riskiluokitus ja koskee melkein kaikkia – korjattava välittömästi

LÄHDE: Tekniikka&Talous/Mikko Pulliainen 12.11.2020