WannaCry – Itkettävä kiristyshaittaohjelma

Toukokuussa maailma heräsi WannaCry-nimellä kulkevan kiristyshaittaohjelman massiiviseen tuhoaaltoon. Ihmiset ympäri maailmaa havahtuivat koneellensa ilmestyneeseen ikkunaan, joka ilmoitti laitteen tiedostojen olevan salakirjoitettuja. Saadakseen tiedostot takaisin käyttöönsä, käyttäjän olisi kiristysohjelman mukaan maksettava rahaa. Vaikka kiristyshaittaohjelmissa ei itsessään ole mitään uutta, WannaCry-ohjelmasta erityisen tekee se, että se levisi poikkeuksellisen tehokkaasti. Päästessään yhteen koneeseen, se hyödynsi vanhaa haavoittuvuutta. Haittaohjelma levisi yritysten sisäverkossa käyttäjien kesken 90-luvun matojen kaltaisesti.

Valitettavasti tietoturvapiireissä tällaista aaltoa on odotettu CryptoLocker-haittaohjelmasta lähtien. Vaikka WannaCry onkin nyt saatu taltutettua (tosin puolivahingossa), haittaohjelmasta on jo kehitetty uusia versioita. Pahin pelko on se, että WannaCry on vasta alkusoittoa oikeasti pahoille kiristysepidemioille. Haittaohjelma käytti hyväkseen haavoittuvuutta, jolle Microsoft on julkaissut päivityksen jo maaliskuussa. WannaCry-ohjelman tai sen variaatiot pystyy siis helposti estämään pitämällä käyttöjärjestelmät ajan tasalla. Uusimmat käyttöjärjestelmät ovat suhteellisen hyvin päivitettyjä ja suurimmat tartuntamäärät tulivatkin Windows XP-ympäristöstä, jolle Microsoft tarjosi päivityksen vasta hyökkäyksen alettua. Kohta täysi-ikään tuleva Windows XP ei ole ollut Microsoftin tietoturvapäivitysten piirissä moneen vuoteen. Haittaohjelman kriittisyyden vuoksi jopa Microsoft tuli vastaan ja tarjosi poikkeuksellisesti päivityksen Windows XP-ympäristölle.

Yritysmaailmassa suurin kärsijä oli HUS:ia vastaava Brittien NHS, jossa WannaCry tarttui yli 70 000:een koneeseen, lamauttaen muun muassa ambulanssien toimintaa. Tämän lisäksi monet operaattorit ilmoittivat vaikutuksista ja muutamat autonvalmistajat joutuivat ajamaan tuotantoa alas. WannaCry:n saastuttamia näyttöjä näkyi ympäri maailmaa, kuten esimerkiksi Frankfurtin keskustan juna-aseman aikataulunäytöillä. Alla oleva kuva havainnollistaa WannaCry-haittaohjelman ilmoitusta.

 

Cry

Kuvan lähde: Helsingin Sanomat

 

Kuinka yrityksesi voi varautua tuleviin hyökkäyksiin?

Kryptaavat haittaohjelmat ovat tulleet jäädäkseen ja WannaCry oli osoitus siitä, mitä ne voivat pahimmillaan olla. On kuitenkin otettava huomioon se, että WannaCry saattoi olla vain harjoitus suurempaa hyökkäystä varten – tai muuten vaan vähän vasemmalla kädellä tehty. Hyökkäys käytti hyväkseen vanhaa, tunnettua haavoittuvuutta ja oli suhteellisen heikosti tehty, mikä mahdollisti sen alasajon. Itse odotan kauhulla, mitä tapahtuu kun käytössä on tuntematon, niin sanottu nollapäivähaavoittuvuus ja erittäin hyvin loppuun asti mietitty haittaohjelma. Vaikutukset saattavat olla katastrofaaliset. Vaikka kaikkeen ei voi eikä kannata varautua, erityisesti yritysten huomion tulisi kiinnittyä pidempiaikaiseen tietoturvan suunnitteluun ja tietoturvariskeihin varautumiseen. Onhan yrityksessäsi otettu huomioon vähintään seuraavat asiat?

  1. Varmista haavoittuvuuksienhallinnan prosessien toiminta. Pelkkä automaattinen päivittäminen ei riitä. Tarkista, että päivitykset on ajettu ajan tasalle skannaamalla ympäristöäsi haavoittuvuusskannerilla. Tunnistat samalla käyttöjärjestelmissä piilevät, asennuksesta jääneet haavoittuvuudet ja löydät infraasi kuulumattomat laitteet.
     
  2. Huolehdi henkilöstön tietoturvatietoisuudesta. Tietoturvapolitiikan luetuttaminen ensimmäisenä työpäivänä ei valitettavasti auta työntekijöitä ymmärtämään sitä, miksi epäilyttävästä osoitteesta tulevaan salasananvaihtopyyntöön ei kannata reagoida. Luo kattava tietoturvatietoisuusohjelma, joka sisältää käytännönläheiset politiikat ja ohjeet sekä säännölliset, tietoturvaa järkevästi käsittelevät koulutukset. Tehosta näitä hyvin mietityillä sähköposti- tai videotaulukampanjoilla. Kerro työntekijöille, miksi tietoturva on tärkeää heidän päivittäessä tekemisessä ja kuinka pienikin asia voi johtaa suuriin vaikutuksiin, niin hyvässä kuin pahassa.
     
  3. Kun pahin on käynyt, ainoa pelastus on yleensä varmuuskopionti. Kun yrityskäytössä oleva työasema on saastunut kiristyshaittaohjelmalla, kustannustehokkain ja turvallisin tapa palauttaa toimintakyky on tyhjentää kone ja palauttaa tiedot varmuuskopiosta. Huomaathan, että haittaohjelmat saattavat ulottua myös pilvitallennusohjelmiin ja verkkolevyihin. Huolehdi siis, että konfigurointi on kunnossa, varmuuskopioita otetaan tarpeeksi usein ja työtekijät eivät säilö tietoja vain omilla työasemilla.

Autamme mielellämme kaikissa kysymyksissä yrityksesi tietoturvaan liittyen. Mikäli haluat keskustella tietoturvakysymyksistä tarkemmin, voit olla yhteydessä myyntiimme osoitteessa sales@nebula.fi tai puhelimitse 09-6818 3859.

Kirill Filatov toimii tietoturvakonsulttina Nebulalla, jossa hän parantaa ja tehostaa asiakkaiden tietoturvaa ymmärrettävästi ja käytännönläheisesti.

Blogi

Ajankohtaista

Advantage17 veti täyden yleisön – tässä seminaarin parhaat palat!

Nebula järjesti Wanhassa Satamassa 10.10. Advantage17-tapahtuman, joka kokosi yhteen yli 200 pk-yrittäjää ja IT-alan ammattilaista. Tapahtuma oli...
Lue lisää

GOOGLE TEKEE SIVUSTOJEN TIETOTURVAPUUTTEET NÄKYVIKSI LOKAKUUSTA ALKAEN

Alkuvuonna 2017 maailman suosituin nettiselain Google Chrome alkoi korostaa SSL-sertifikaattien merkitystä sivustoilla, joilla käytetään salasanaa ja...
Lue lisää

Kuinka rakennetaan paras työpaikka parhaille osaajille? – Nebulan missio pähkinänkuoressa

Vuonna 1997 perustettu Nebula on 20 vuotta kestäneen toimintansa jälkeen edelleen vahvan kasvun pyörteissä ja etsii nyt uusia osaajia kasvavaan...
Lue lisää