Kuka kaappasi tiedostoni?

  • Ilari Karinen

On maanantaiaamu ja Asko saapuu työpisteelleen. Projektit painavat päälle. Sähköpostissa odottaa kymmenittäin lukemattomia viestejä. Asko pysähtyy hetkeksi yhden viestin kohdalle – miksi kuriiriyritykseltä on tullut lasku, vaikken ole sitä koskaan käyttänyt? Asko yrittää avata liitetiedostoa, mutta ei saa sitä auki. Tovin kuluttua Asko yrittää avata projektien seurantataulukkoa, mutta tiedosto ei aukea. Jostain syystä sen nimi on vaihtunut ja sisältö on siansaksaa. Asko soittaa IT-tukeen, mutta sieltä ei ehditä vastata; tukeen tulvii soittoja yrityksen työntekijöiltä, jotka eivät pääse käsiksi yrityksen jaetulle verkkolevylle tallennettuihin tiedostoihin. Totuus alkaa paljastua Askolle siinä vaiheessa, kun hän huomaa tietokoneensa taustakuvan vaihtuneen pahaenteiseen tekstiin. Siinä vaaditaan kahta Bitcoin-virtuaalirahaa (noin 1000 €) vastineeksi tiedostojen palauttamisesta; Asko on joutunut sähköpostin haitallisesta liitetiedostosta leviävän kiristyshaittaohjelman uhriksi. Haittaohjelman vaikutukset ovat levinneet myös Askon koneella käytössä olevaan, jaettuun verkkolevyyn.

Tämä fiktiivinen tapaus on realistinen kuvaus kiristyshaittaohjelman uhriksi joutumisesta. Tällaisten haittaohjelmien tarkoitus on kiristää uhria salaamalla käyttäjän tiedostot. Kiristyshaittaohjelmat ovat viime vuosina yleistyneet verkkorikollisten yhdeksi merkittävimmäksi rahantekomuodoksi. Rikolliset pyrkivät jatkuvasti kehittämään uusia keinoja, joilla varmistettaisiin maksimaalinen tuotto.

Suurin osa kiristyshaittaohjelmista on kohdistettu Windows-ympäristöihin. Tyypillinen tartuntatapa on sähköpostin haitallisen liitetiedoston tai ns. Exploit kit -levitysjärjestelmän kautta. Sähköpostilevityksessä panostetaan sosiaaliseen naamiointiin, jotta käyttäjä ei epäilisi viestin sisältöä. Tyypillisiä viestin aiheita ovat laskut, paketin saapumisilmoitukset tai kopiokoneen lähettämä ilmoitus. Viestit voidaan myös naamioida siten, että ne näyttävät tulevan oman organisaation sisältä. Exploit kit -levitysjärjestelmät taas perustuvat siihen, että puutteellisesti suojatuille verkkosivustoille upotetaan tietomurron avulla haitallista koodia. Mitä suositummalle verkkosivulle haitallista koodia onnistutaan lisäämään, sitä suurempi on mahdollisten uhrien määrä.

Kiristyshaittaohjelmilta suojautumiseksi on olemassa teknisiä tietoturvakontrolleja, kuten sähköpostijärjestelmässä tehtävä esisuodatus lähettäjän maineentunnistuksen ja liitetiedoston tyypin kautta sekä työasemapuolella ajantasainen antivirus-ohjelmisto. Teknisten kontrollien lisäksi tarvitaan hallinnollisia kontrolleja, joilla lisätään henkilöstön tietoisuutta eri vaaroista mm. koulutuksella. Tarkka työntekijä on tärkeä tekijä tartunnan estämisessä.

Jos kaikki kontrollit pettävät ja kiristyshaittaohjelma iskee koneelle, korostuu ajantasaisten varmuuskopioiden tärkeys. Lunnaiden maksu ei takaa tiedostojen saamista takaisin. Palauttamalla tiedostot varmuuskopioista, selvittämällä, miten tartunta pääsi tapahtumaan ja tilkitsemällä mahdolliset ’reiät’, on organisaatio askeleen valmiimpi suojautumaan tulevaisuudessa vastaavanlaisilta uhilta.