WannaCry – Itkettävä kiristyshaittaohjelma

Viikonloppuna maailma heräsi WannaCry-nimellä kulkevan kiristyshaittaohjelman massiiviseen tuhoaaltoon. Ihmiset ympäri maailmaa havahtuivat koneellensa ilmestyneeseen ikkunaan, joka ilmoitti laitteen tiedostojen olevan salakirjoitettuja. Saadakseen tiedostot takaisin käyttöönsä, käyttäjän olisi kiristysohjelman mukaan maksettava rahaa. Vaikka kiristyshaittaohjelmissa ei itsessään ole mitään uutta, WannaCry-ohjelmasta erityisen tekee se, että se levisi poikkeuksellisen tehokkaasti. Päästessään yhteen koneeseen, se hyödynsi vanhaa haavoittuvuutta. Haittaohjelma levisi yritysten sisäverkossa käyttäjien kesken 90-luvun matojen kaltaisesti.

Valitettavasti tietoturvapiireissä tällaista aaltoa on odotettu CryptoLocker-haittaohjelmasta lähtien. Vaikka WannaCry onkin nyt saatu taltutettua (tosin puolivahingossa), haittaohjelmasta on jo kehitetty uusia versioita. Pahin pelko on se, että WannaCry on vasta alkusoittoa oikeasti pahoille kiristysepidemioille. Haittaohjelma käytti hyväkseen haavoittuvuutta, jolle Microsoft on julkaissut päivityksen jo maaliskuussa. WannaCry-ohjelman tai sen variaatiot pystyy siis helposti estämään pitämällä käyttöjärjestelmät ajan tasalla. Uusimmat käyttöjärjestelmät ovat suhteellisen hyvin päivitettyjä ja suurimmat tartuntamäärät tulivatkin Windows XP-ympäristöstä, jolle Microsoft tarjosi päivityksen vasta hyökkäyksen alettua. Kohta täysi-ikään tuleva Windows XP ei ole ollut Microsoftin tietoturvapäivitysten piirissä moneen vuoteen. Haittaohjelman kriittisyyden vuoksi jopa Microsoft tuli vastaan ja tarjosi poikkeuksellisesti päivityksen Windows XP-ympäristölle.

Yritysmaailmassa suurin kärsijä oli HUS:ia vastaava Brittien NHS, jossa WannaCry tarttui yli 70 000:een koneeseen, lamauttaen muun muassa ambulanssien toimintaa. Tämän lisäksi monet operaattorit ilmoittivat vaikutuksista ja muutamat autonvalmistajat joutuivat ajamaan tuotantoa alas. WannaCry:n saastuttamia näyttöjä näkyi ympäri maailmaa, kuten esimerkiksi Frankfurtin keskustan juna-aseman aikataulunäytöillä. Alla oleva kuva havainnollistaa WannaCry-haittaohjelman ilmoitusta.

 

Cry

Kuvan lähde: Helsingin Sanomat

 

Kuinka yrityksesi voi varautua tuleviin hyökkäyksiin?

Kryptaavat haittaohjelmat ovat tulleet jäädäkseen ja WannaCry oli osoitus siitä, mitä ne voivat pahimmillaan olla. On kuitenkin otettava huomioon se, että WannaCry saattoi olla vain harjoitus suurempaa hyökkäystä varten – tai muuten vaan vähän vasemmalla kädellä tehty. Hyökkäys käytti hyväkseen vanhaa, tunnettua haavoittuvuutta ja oli suhteellisen heikosti tehty, mikä mahdollisti sen alasajon. Itse odotan kauhulla, mitä tapahtuu kun käytössä on tuntematon, niin sanottu nollapäivähaavoittuvuus ja erittäin hyvin loppuun asti mietitty haittaohjelma. Vaikutukset saattavat olla katastrofaaliset. Vaikka kaikkeen ei voi eikä kannata varautua, erityisesti yritysten huomion tulisi kiinnittyä pidempiaikaiseen tietoturvan suunnitteluun ja tietoturvariskeihin varautumiseen. Onhan yrityksessäsi otettu huomioon vähintään seuraavat asiat?

  1. Varmista haavoittuvuuksienhallinnan prosessien toiminta. Pelkkä automaattinen päivittäminen ei riitä. Tarkista, että päivitykset on ajettu ajan tasalle skannaamalla ympäristöäsi haavoittuvuusskannerilla. Tunnistat samalla käyttöjärjestelmissä piilevät, asennuksesta jääneet haavoittuvuudet ja löydät infraasi kuulumattomat laitteet.
     
  2. Huolehdi henkilöstön tietoturvatietoisuudesta. Tietoturvapolitiikan luetuttaminen ensimmäisenä työpäivänä ei valitettavasti auta työntekijöitä ymmärtämään sitä, miksi epäilyttävästä osoitteesta tulevaan salasananvaihtopyyntöön ei kannata reagoida. Luo kattava tietoturvatietoisuusohjelma, joka sisältää käytännönläheiset politiikat ja ohjeet sekä säännölliset, tietoturvaa järkevästi käsittelevät koulutukset. Tehosta näitä hyvin mietityillä sähköposti- tai videotaulukampanjoilla. Kerro työntekijöille, miksi tietoturva on tärkeää heidän päivittäessä tekemisessä ja kuinka pienikin asia voi johtaa suuriin vaikutuksiin, niin hyvässä kuin pahassa.
     
  3. Kun pahin on käynyt, ainoa pelastus on yleensä varmuuskopionti. Kun yrityskäytössä oleva työasema on saastunut kiristyshaittaohjelmalla, kustannustehokkain ja turvallisin tapa palauttaa toimintakyky on tyhjentää kone ja palauttaa tiedot varmuuskopiosta. Huomaathan, että haittaohjelmat saattavat ulottua myös pilvitallennusohjelmiin ja verkkolevyihin. Huolehdi siis, että konfigurointi on kunnossa, varmuuskopioita otetaan tarpeeksi usein ja työtekijät eivät säilö tietoja vain omilla työasemilla.

Autamme mielellämme kaikissa kysymyksissä yrityksesi tietoturvaan liittyen. Mikäli haluat keskustella tietoturvakysymyksistä tarkemmin, voit olla yhteydessä myyntiimme osoitteessa sales@nebula.fi tai puhelimitse 09-6818 3859.

Kirill Filatov toimii tietoturvakonsulttina Nebulalla, jossa hän parantaa ja tehostaa asiakkaiden tietoturvaa ymmärrettävästi ja käytännönläheisesti.

Blogi

Ajankohtaista

Laurea hankkii perustietotekniikan palvelut Nebulalta

Nebula Oy Lehdistötiedote 30.6.2017 kello 12:00 Kuvassa vasemmalta: Kimmo Hannonen, Pekka Eloholma ja Kimmo Pettinen   Suomen suurimpiin...
Lue lisää

Teknologiat digitaalisen liiketoiminnan perustana

Nebula on kulkenut pitkän matkan sieltä, mistä sen tarina sai alun perin alkunsa 20 vuotta sitten: ADSL-yhteyksistä ja Webhotelleista. Teknologia on...
Lue lisää

ASIAKASTUEN POIKKEUSAUKIOLO PERJANTAINA 9.6.2017

Asiakastukemme puhelinpalvelu sulkeutuu poikkeuksellisesti kello 16:00. Kyseessä on siis seuraava puhelinlinjamme: 09 6818 3810 Palvelemme jälleen...
Lue lisää