Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Haittaohjelmapiikki kiinnitti huomiomme - auttoi löytämään maailmalta yli 100 000 QSnatchin saastuttamaa laitetta

Tietoturva Nyt!

Miten yksittäisestä Autoreporter-havainnosta päästään kansainvälisesti merkittävän haittaohjelman jäljille? Olemme jo kertoneet QSnatchin toiminnasta ja saastuneiden laitteiden puhdistamisesta. Nyt kerromme, kuinka sen löysimme. QSnatch on herättänyt huomiota Euroopasta Aasiaan saakka. Maailmanlaajuisesti haittaohjelmatartuntoja on havaittu ainakin 100 000.

"QSnatch-artikkelin kuvituskuva, jossa haittaohjelmasta varoittava kolmio"

 

Heti aluksi haluamme kiittää SecurityScorecardin tutkija Doina Cosovania, jonka ansiota alkuperäinen haittaohjelmahavainto oli. Ilman häntä QSnatchin löytäminen ei olisi ollut mahdollista. 

Jotain mätää Autoreporterissa

Autoreporterin yksittäinen noin 200 havainnon piikki herätti huomiomme 11.10.2019. Yksittäiset havainnot vaihtuivat tasaisempaan Autoreporter-havaintovirtaan noin viikkoa myöhemmin.

Johtava asiantuntijamme Ilkka Sovanto otti haittaohjelman lähempään tarkasteluun 22.10. ja alkoi paikantaa ja analysoida näytteitä. Havainnot viittasivat Windows-haittaohjelmaan, mutta myös QNAP-tallennuslaitteisiin, jotka eivät käytä Windowsia.

Ainakin 100 000 tartuntaa

Suomesta QSnatch-havaintoja on tehty muutamia satoja. Meillä saastuneet laitteet ovat olleet lähinnä kotikäytössä mutta joukossa oli myös muutamia yrityslaitteita. Maailmanlaajuisesti tartuntoja on havaittu noin 100 000. Esimerkiksi Saksan tietoturvaviranmainen, CERT-Bund, on kertonut, että Saksasta löytyi noin 7000 QSnatch-tartuntaa.

Kyseessä on merkittävä ja kansainvälinen haittaohjelmalöydös. Tartuntojen suuri määrä viittaa automatisoituun hyökkäykseen. Hyökkääjän tavoite on edelleen epäselvä, mutta selvää on, että tartunnan saaneet tallennuslaitteet sisältävät valtavan määrän arvokasta tietoa, johon rikolliset ovat päässeet käsiksi. 

Aktiivinen Tilannekeskus + toimiva kansainvälinen yhteistyö = sujuvaa siivousta

Tilanne elää vielä. Vaikka laitevalmistaja QNAP on julkaissut haittaohjelman puhdistustyökalun, QSnatch on sitkeä siivottava, siksi jatkamme sen tutkimista yhdessä kansainvälisten yhteistyöverkostojemme kanssa.

Löydöksemme on hyvä muistutus siitä, kuinka tärkeä rooli haittaohjelmahavainnoinnilla on, kun torjumme haittaohjelmatartuntoja ja pidämme huolta Suomen tietoverkkojen toimivuudesta. Tällä kertaa apuna oli myös Autoreporter. Tärkeässä roolissa ovat myös kansainväliset verkostomme, joiden avulla saamme välitettyä esimerkiksi haittaohjelmatartuntoihin liittyvää tietoa nopeasti eteenpäin. Kansainvälisellä yhteistyöllä saamme hahmoteltua tapauksesta kuin tapauksesta tarkemman tilannekuvan.

Marraskuun alussa QNAP julkaisi päivitetyn version ohjeista ja MalwareRemover-työkalusta. Lisätietoja QSnatchin toiminnasta ja saastuneen laitteen puhdistamisesta saat artikkelistamme QSnatch - QNAP NAS -laitteisiin suunnattu haittaohjelma .

 

Autoreporter

Torjumme haittaohjelmia yhteistyössä teleyritysten kanssa Autoreporter-järjestelmän avulla. Palvelu lähettää verkkojen ylläpitäjille automaattisesti tietoja heidän verkossaan havaituista tietoturvaa vaarantavista ilmiöistä.