Puolivuotiskatsaus: – vaikka kiristys vähenee, tietokoneita orjuuttava louhinta leviää vähin äänin

Viime vuosina yleistyneet kiristäjät notPetya, WannaCry ja Mirai ovat vähentyneet tätä vuotta mentäessä. Iskussa kiristyshaittaohjelmat salaavat tietokoneen kovalevyn, ja vaativat lunnaita salauksen purkamisesta. Saamme kiittää mm. edistyksellistä päätelaitesuojausta, joka toimii kiristysohjelmia vastaan. Taas operaattoritasolla kiristyksessä käytetyn yhteyden katkaiseminen tuhosi kiristyksen ansaintalogiikan. Kyberrikollisten uusi hitti onkin louhia virtuaalivaluuttoja kaapatun tietokoneen resursseilla.
Virtuaalivaluuttaa louhivat haittaohjelmat leviävät nyt myös Suomessa
Kryptolouhijoiden esiintyvyys yrityksissä on jo kymmenkertainen kiristyshaittaohjelmiin verrattuna, kertoo Check Pointin Security Report 2019, ja jatkaa: kuitenkin vain yksi viidestä tietoturva-ammattilaisesta havaitsee tämä haittakoodin tartunnan.
Kryptolouhija näet voidaan integroida myös verkkosivun ohjelmakoodiin, tai esimerkiksi YouTuben linkkiin, jolloin valuutan louhinta käynnistyy miltei huomaamatta saastuneilla verkkosivuilla vierailleen käyttäjän selaimessa. Varsinaista haittaohjelmatartuntaa uhrin tietokoneelle ei siis välttämättä edes tarvita – (toisaalta louhijaa voidaan tarjota selainlisäosana muutenkin). Tosin, jopa pdf-asiakirjaformaatissa voi toimia JavaScript-tiedostoja, jotka omine lupineen ajavat kaivoksia rakentavia haittakoodeja. Alkujaan Adoben luomaa pdf-formaattia pidetään turvallisena, mutta sen turvallinen käyttö vaatii asetusten tarkkaa tuntemista.
WannaMine-haittaohjelma
Maailmalla tutut Kovter ja Emotet –haittaohjelmat ovat samaa sukua; ne ovat täällä, muistuttaa Kyberturvallisuuskeskus. Kovter on verkkomainoksia klikkaileva haittaohjelma, jonka avulla verkkosivu voi keinotekoisesti lisätä omia mainostulojaan. Emotet puolestaan on monikäyttöinen haittakoodi, jonka avulla voi esimerkiksi varastaa tunnuksia tai ladata kohteeseen kaivosohjelman. Näkyvin tapaus oli alkuvuodesta Lahden kaupungin tietojärjestelmiin vaikuttanut, virtuaalivaluuttaa louhiva, ja itsestään leviävä WannaMine-haittaohjelma.
WannaMine4.0 kaivoskoodi on levinnyt 20. maaliskuuta 2019 alkaen. Sangfor-tietoturvaryhmä on jäljittänyt WannaMine-variantin Kiinaan. Leviämisnopeus on ollut huima. Sairaalaverkot se saastutti vain muutamassa päivässä, samoin kuin aiemmin WannaMine1.0, WannaMine2.0 ja WannaMine3.0.
Jostain syystä Lahdessa on eri aikoina tavattu tämän saman haittaohjelman variantteja. Suomessa helmikuun 2018 alussa Lahden kaupungin tietojärjestelmissä alkoi esiintyä häiriöitä. Häiriöt osoittautuivat WannaMinen aiheuttamaksi kuormitukseksi useissa kaupungin palvelinkoneissa. Tilannetta kuvattiin kilpajuoksuksi krakkereiden ja tietoturvatyötä tekevien välillä. Kesäkuussa 2019 Mine-koodi havaittiin yhdellä koneella, josta se ehti levitä noin tuhanteen terveydenhuollon työasemaan. Lahden kaupungin ja Päijät-Hämeen hyvinvointiyhtymän verkkojen välit katkaistiin heti, kun tilanne havaittiin. Yhteyksien katkaisu taas aiheutti merkittäviä häiriöitä Lahden terveysasemien ja hammashoitoloiden toiminnassa, ja se vaikuttaa myös sosiaalipalveluiden asiakastyöhön.
Mitä kaivosohjema tekee?
Hyökkäyksen seurauksena verkko kuormittuu – kyseessähän on kaivosohjelma, joka ottaa teknisen resurssin omaan käyttöönsä. WannaMine-varianttien pääasiallinen tarkoitus on louhia eli luoda virtuaalivaluutta Moneroa. Valuutan luomiseen vaadittava algoritmi ajaa laskutoimituksia, jotka ovat raskaita. Orjuuttavaan louhintaan kuluu paljon aikaa ja syöttötehoa (sähköä, jonka maksaa uhri). Syntyy moneroa, joka perustuu muiden kryptovaluuttojen tapaan lohkoketjuteknologiaan. Bitcoinista Monero kuitenkin erottuu siinä, että tiedot lähettäjästä, siirrettävästä summasta ja valuutan saajasta salataan lohkoketjuun. Tästä syystä Monero sopii rikollisten tarpeisiin, esimerkiksi kiristykseen. Moneron perustaja on tuntematon. Se on vuonna 2014 luotu, avoimeen lähdekoodiin perustuva kryptovaluutta. Koodi nojautuu edeltävään CryptoNote nimiseen protokollaan, jota on parannettu mm. lohkoketjuihin perustuvilla kryptauksilla.

