Puolivuotiskatsaus: – vaikka kiristys vähenee, tietokoneita orjuuttava louhinta leviää vähin äänin

Viime vuosina yleistyneet kiristäjät notPetya, WannaCry ja Mirai ovat vähentyneet tätä vuotta mentäessä. Iskussa kiristyshaittaohjelmat salaavat tietokoneen kovalevyn, ja vaativat lunnaita salauksen purkamisesta. Saamme kiittää mm. edistyksellistä päätelaitesuojausta, joka toimii kiristysohjelmia vastaan. Taas operaattoritasolla kiristyksessä käytetyn yhteyden katkaiseminen tuhosi kiristyksen ansaintalogiikan. Kyberrikollisten uusi hitti onkin louhia virtuaalivaluuttoja kaapatun tietokoneen resursseilla.

Virtuaalivaluuttaa louhivat haittaohjelmat leviävät nyt myös Suomessa

Kryptolouhijoiden esiintyvyys yrityksissä on jo kymmenkertainen kiristyshaittaohjelmiin verrattuna, kertoo Check Pointin Security Report 2019, ja jatkaa: kuitenkin vain yksi viidestä tietoturva-ammattilaisesta havaitsee tämä haittakoodin tartunnan.

Kryptolouhija näet voidaan integroida myös verkkosivun ohjelmakoodiin, tai esimerkiksi YouTuben linkkiin, jolloin valuutan louhinta käynnistyy miltei huomaamatta saastuneilla verkkosivuilla vierailleen käyttäjän selaimessa.  Varsinaista haittaohjelmatartuntaa uhrin tietokoneelle ei siis välttämättä edes tarvita – (toisaalta louhijaa voidaan tarjota selainlisäosana muutenkin). Tosin, jopa pdf-asiakirjaformaatissa voi toimia JavaScript-tiedostoja, jotka omine lupineen ajavat kaivoksia rakentavia haittakoodeja. Alkujaan Adoben luomaa pdf-formaattia pidetään turvallisena, mutta sen turvallinen käyttö vaatii asetusten tarkkaa tuntemista.

WannaMine-haittaohjelma

Maailmalla tutut Kovter ja Emotet –haittaohjelmat ovat samaa sukua; ne ovat täällä, muistuttaa Kyberturvallisuuskeskus. Kovter on verkkomainoksia klikkaileva haittaohjelma, jonka avulla verkkosivu voi keinotekoisesti lisätä omia mainostulojaan. Emotet puolestaan on monikäyttöinen haittakoodi, jonka avulla voi esimerkiksi varastaa tunnuksia tai ladata kohteeseen kaivosohjelman. Näkyvin tapaus oli alkuvuodesta Lahden kaupungin tietojärjestelmiin vaikuttanut, virtuaalivaluuttaa louhiva, ja itsestään leviävä WannaMine-haittaohjelma.

WannaMine4.0 kaivoskoodi on levinnyt 20. maaliskuuta 2019 alkaen. Sangfor-tietoturvaryhmä on jäljittänyt WannaMine-variantin Kiinaan. Leviämisnopeus on ollut huima. Sairaalaverkot se saastutti vain muutamassa päivässä, samoin kuin aiemmin WannaMine1.0, WannaMine2.0 ja WannaMine3.0.

Jostain syystä Lahdessa on eri aikoina tavattu tämän saman haittaohjelman variantteja. Suomessa helmikuun 2018 alussa Lahden kaupungin tietojärjestelmissä alkoi esiintyä häiriöitä. Häiriöt osoittautuivat WannaMinen aiheuttamaksi kuormitukseksi useissa kaupungin palvelinkoneissa. Tilannetta kuvattiin kilpajuoksuksi krakkereiden ja tietoturvatyötä tekevien välillä. Kesäkuussa 2019 Mine-koodi havaittiin yhdellä koneella, josta se ehti levitä noin tuhanteen terveydenhuollon työasemaan. Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän verkkojen välit katkaistiin heti, kun tilanne havaittiin. Yhteyksien katkaisu taas aiheutti merkittäviä häiriöitä Lahden terveysasemien ja hammashoitoloiden toiminnassa, ja se vaikuttaa myös sosiaalipalveluiden asiakastyöhön.

Mitä kaivosohjema tekee?

Hyökkäyksen seurauksena verkko kuormittuu – kyseessähän on kaivosohjelma, joka ottaa teknisen resurssin omaan käyttöönsä. WannaMine-varianttien pääasiallinen tarkoitus on louhia eli luoda virtuaalivaluutta Moneroa. Valuutan luomiseen vaadittava algoritmi ajaa laskutoimituksia, jotka ovat raskaita.  Orjuuttavaan louhintaan kuluu paljon aikaa ja syöttötehoa (sähköä, jonka maksaa uhri). Syntyy moneroa, joka perustuu muiden kryptovaluuttojen tapaan lohkoketjuteknologiaan. Bitcoinista Monero kuitenkin erottuu siinä, että tiedot lähettäjästä, siirrettävästä summasta ja valuutan saajasta salataan lohkoketjuun. Tästä syystä Monero sopii rikollisten tarpeisiin, esimerkiksi kiristykseen. Moneron perustaja on tuntematon. Se on vuonna 2014 luotu, avoimeen lähdekoodiin perustuva kryptovaluutta. Koodi nojautuu edeltävään CryptoNote nimiseen protokollaan, jota on parannettu mm. lohkoketjuihin perustuvilla kryptauksilla.

Youtube poistaa sivuja eri syistä, esimerkiksi siksi, että ne lävittävät haittakoodeja_kuvituskuva.
YouTube poistaa sivuja eri syistä, esimerkiksi siksi että ne levittävät haittakoodeja.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…