Kyberturvallisuuskeskuksen viikkokatsaus - 02/2024

Tällä viikolla katsauksessa käsiteltäviä asioita

• Ivantin tuotteissa kaksi erittäin kriittistä haavoittuvuutta 
• Suomalaiset organisaatiot Akira-kiristyshaittaohjelmien kohteena
• Vielä ehdit ilmoittautua Kyberala murroksessa -seminaariin!
• OmaVero-teemaisia kalasteluviestejä edelleen liikkeellä
• Joulukuun kybersäätä synkistivät kiristyshaittaohjelmat
• Viikkokatsauksien vuosi nyt myös videona

Ivantin tuotteissa kaksi erittäin kriittistä haavoittuvuutta 

Kotimaiset organisaatiot käyttävät esimerkiksi Ivantin VPN-ratkaisua Connect Secure (entinen Pulse Secure). Virtuaalinen erillisverkko eli VPN (Virtual Private Network) on esimerkiksi turvallisen etätyön mahdollistava ratkaisu. Kyberturvallisuuskeskuksen tekemien kartoitusten mukaan haavoittuvia palvelimia on Suomessa useita satoja. Tämän vuoksi useiden kotimaisten organisaatioiden on syytä reagoida näihin julkistetuihin haavoittuvuuksiin välittömästi. Kyseiset haavoittuvuudet (Ulkoinen linkki) koskevat organisaatioita ja palveluntarjoajia, joilla kyseistä tuotetta on käytössä tai ylläpidossa, yksittäiseltä käyttäjältä ei odoteta toimenpiteitä. Haavoittuvuuksien hyväksikäytöstä on havaintoja viime vuoden joulukuun alkupuolelta asti. Kyberturvallisuuskeskus ei ole saanut ilmoituksia haavoittuvuuden hyväksikäyttöyrityksistä tai tietomurroista Suomessa.

Organisaation käytössä oleva VPN-ratkaisu on useimmille organisaatioille yksi sen kriittisimmistä palveluista ja siten se perinteisesti kiinnostaa myös rikollisia. Organisaatioiden tulisi huolehtia siitä, että kyseiset tuotteet toimivat halutulla tavalla ja päivitykset ovat ajantasalla. Mahdollisten tietoturvapoikkeamien varalta on myös tärkeää, että organisaatioilla on kyvykkyys valvoa laitteita ja reagoida toiminnassa havaittuihin poikkeamiin.

Ivantin tuotteiden osalta on erittäin tärkeää, että organisaatiot ottavat käyttöön tarjolla olevat haavoittuvuuden hyväksikäyttöä rajoittavat keinot ja asentavat päivitykset niiden tullessa saataville. Haavoittuvuuksien hyväksikäytön rajoittaminen tai lopulta edes päivittäminen ei kuitenkaan ratkaise tilannetta, jossa rikolliset ovat jo päässet sisään järjestelmään näiden haavoittuvuuksien avulla. Organisaatioiden tulisi olettaa, että mikäli tuotteet ovat heillä käytössä, niitä on voitu hyväksikäyttää ja siksi omista järjestelmistä tulisi etsiä mahdollisia tietomurron tunnusmerkkejä (Ulkoinen linkki). Valmistaja tarjoaa myös työkalua (Ulkoinen linkki) (ulkoinen linkki), jolla tietomurto on mahdollista havaita.

Julkaisimme Tietoturva Nyt! -artikkelin Akira-kiristyshaittaohjelmasta

Vastaanotimme viime vuonna kotimaisilta organisaatioilta 12 ilmoitusta Akira-kiristyshaittaohjelmatartunnasta. Valtaosa ilmoituksista tehtiin loppuvuodesta. Julkaisimme keskiviikkona Akira-kiristyshaittaohjelmasta Tietoturva Nyt! -artikkelin (Ulkoinen linkki)

Mistä on kyse?

Akira on ns. Ransomware as a Service (RaaS) -mallilla toimiva haittaohjelma, jossa ammattimaisesti toimiva kyberrikollinen tarjoaa valmista haittaohjelmaa ja -infrastruktuuria muiden käyttöön maksua vastaan. Tämän tyyppinen toimintamalli mahdollistaa myös vähemmän teknistä kyvykkyyttä omaavalle hyökkääjälle haittaohjelman käytön.

Tiedossamme olevissa tapauksissa Akiran havaittiin hyväksikäyttävän etenkin syksyistä Ciscon verkkolaitehaavoittuvuutta CVE-2023-20269 ja heikosti suojattuja Ciscon VPN-ratkaisuja. Tietojen salaamisen lisäksi hyökkääjä on pyrkinyt etsimään ja hävittämään myös kohteensa varmuuskopiot.

Akira-tapauksiin liittyy usein myös tietovuoto. Hyökkääjät käyttävät "double extortion" -tekniikkaa, joka tarkoittaa, että tiedot varastetaan ja sitten ne uhataan julkaista, ellei lunnaita makseta. Lunnaiden maksamista ei suositella.

Miten Akiralta voi suojautua?

Kiristyshaittaohjelmatapaukset aiheuttavat merkittävää vaivaa ja kustannuksia organisaatioille. Hyökkäyksen onnistumisen estämiseksi on tarpeen tehdä seuraavat toimenpiteet:

• Huolehdi verkkolaitteiden päivityksistä
• Ota käyttöön monivaiheinen tunnistautuminen

Lisäksi on tärkeää tehdä toimenpiteitä sen varalta, että hyökkäys onnistuukin. Varmuuskopioiden suojaamisessa kannattaa suosia 3-2-1-sääntöä. Eli säilytä vähintään kolmea varmuuskopiota kahdessa eri paikassa ja pidä yksi näistä kopioista kokonaan poissa verkosta. Akira-tapauksissa erityisesti poissa verkosta oleva varmuuskopio on tärkeä.

Kiristyshaittaohjelman uhriksi joutumisesta kannattaa ilmoittaa

Mikäli joudut kiristyshaittaohjelmahyökkäyksen uhriksi tai epäilet sellaista, ota yhteyttä Kyberturvallisuuskeskukseen (Ulkoinen linkki). Asiasta kannattaa tehdä myös rikosilmoitus poliisille.

Ilmoitusten avulla keräämme tietoa tietoturvaloukkauksista, tunnistamme ilmiöitä ja tiedotamme niistä. Ilmoittamalla autat parantamaan kyberturvallisuutta ja vahvistamaan myös muiden organisaatioiden suojausta. Yleisen tietoturvatietouden lisääminen ohessa autammme vakavien tietoturvaloukkausten teknisessä selvityksessä.

Vielä ehdit ilmoittautua Kyberala murroksessa -seminaariin!

NIS2, CRA ja RED ovat lyhenteitä, jotka vilahtelevat alaa koskevassa keskusteluissa. Mitä edellä mainittujen lyhenteiden takana oleva sääntely pitää sisällään? Millaisia vaatimuksia ja velvoitteita yrityksille on tulossa? Miten tulossa olevaan sääntelyyn tulee valmistautua?

Muun muassa näitä asioita käsitellään Liikenne- ja viestintävirasto Traficomin, Kyberala ry:n ja Teknologiateollisuus ry:n järjestämässä Kyberala murroksessa -seminaarissa. Maksuton seminaari on suunnattu yritysten liiketoiminnasta ja tuotekehityksestä vastaavalle johdolle ja asiantuntijoille.

Verkko-osallistuminen on auki kaikille halukkaille. 
Aika: ti 23.01.2024 kello 12-16.30
Verkkoilmoittautuminen päättyy perjantaina 19.1.2024. Seminaari tallennetaan ja tallenne julkaistaan tilaisuuden jälkeen.

Tutustu tilaisuuden ohjelmaan ja ilmoittaudu mukaan (Ulkoinen linkki).
Tervetuloa linjoille!

OmaVero-teemaisia kalasteluviestejä edelleen liikkeellä

Viime vuoden lopussa aktiivisesti liikkuneet OmaVero-teemaiset huijausviestit eivät ole laantuneet alkuvuodesta 2024. Kyberturvallisuuskeskus on vastaanottanut lukuisia ilmoituksia kyseisistä huijausviesteistä myös kuluneella viikolla. 

Huijausviestien teemat vaihtelevat

Huijausviestejä on tullut muutamilla erilaisilla teemoilla. Viesteissä kansalaisia on lähestytty esimerkiksi veronpalautuksiin tai verojen maksamiseen liittyvissä "ongelmissa". Viestien linkit ovat johtaneet verottajan verkkosivua muistuttavalle tietojenkalastelusivustolle ja niissä on pyydetty kirjautumaan kyseiselle valesivustolle pankkitunnuksia käyttäen.

Eläkkeen saajat kohteena

Huijausviesteissä teemana ovat viime aikoina näkyneet myös eläkkeiden maksuun vaikuttavat ongelmat, joissa väitetään viestin vastaanottajan eläkkeen olevan vaarassa.

Rikolliset pyrkivät vaikuttamaan kohteisiinsa hyödyntämällä ajankohtaisia rahaan liittyviä teemoja ja painottamalla asioiden kiireellisyyttä. Viestien lähettäjäkenttä on asetettu näyttämään viestin tulevan OmaVero:lta ja tämäkin saattaa saada kohteen uskomaan viestin saapuvan oikeasti veroviranomaiselta.

Maltti ja pienten seikkojen huomioiminen avainasemassa

Mikäli saat epäilyttäviltä vaikuttavia sähköposti- tai tekstiviestejä, suhtaudu niihin aina varauksella. Huomioimalla muutamia pieniä seikkoja saatat välttää pankkitunnuksiesi menetyksen rikollisille.

Ohjeita huijausviestien varalle:

• Veroviranomainen tai pankit eivät lähetä viesteissään linkkejä sivustoilleen vaan kehottavat kirjautumaan palveluun sen viralliselta sivustolta. Vältä siis viesteissä olevien linkkien avaamista.
• Mikäli päädyt avaamaan linkin, tarkasta aina osoiteriviltä sivuston osoite. Tietojenkalastelusivustojen osoite saattaa etäisesti muistuttaa oikeaa sivustoa, mutta pienet yksityiskohdat paljastavat huijaussivustot.
• Älä hätiköi saadessasi kiireelliseltä vaikuttavan viestin, vaan tarkista rauhassa, onko viestissä mahdollisesti jotain vilpilliseltä vaikuttavaa.
• Jos et ole varma, onko viesti huijausta vai totta, voit aina soittaa viestin lähettäjänä näkyvän tahon asiakaspalveluun asian varmistamiseksi.
• Mikäli olet syöttänyt pankkitunnuksesi tietojenkalastelusivustolle, ole välittömästi yhteydessä pankkiisi ja tee asiasta rikosilmoitus.

Joulukuun kybersäätä synkistivät kiristyshaittaohjelmat

Vuosi 2023 päättyi kyberturvallisuuden osalta sateisissa merkeissä. Jopa salamointia oli ilmassa, kun Kyberturvallisuuskeskus sai kaikkiaan kuusi ilmoitusta Akira-kiristyshaittaohjelmasta. Myös seurauksiltaan vakavien tietomurtojen määrä kasvoi joulukuussa. Vuoden viimeisessä Kybersäässä (Ulkoinen linkki) ovat mukana myös vuoden 2023 neljännen kvartaalin kvartaalitilastot. Pitkän aikavälin tarkastelussa on tällä kertaa aiheena sääntely.

Viikkokatsauksien vuosi

Miltä vuosi 2023 näyttikään viikkokatsausten kautta tarkasteltuna? Kokosimme yhteen videon muotoon katsauksen menneeseen vuoteen ja erilaisiin tietoturvailmiöihin, joihin vuoden aikana viikkokatsauksissa tutustuttiin. Katso video täältä: 

Haavoittuvuudet

CVE: CVE-2024-21887 
CVSS: 9.1
Mikä: Ivanti julkaisi kaksi kriittistä haavoittuvuutta.
Tuote: Ivanti Connect Secure (tunnettiin aikaisemmin nimellä Pulse Secure) sekä Ivanti Policy Secure -tuotteet.
Korjaus: Ivanti tarjoaa haavoittuvuuden hyväksikäytön rajoittavia toimenpiteitä sivuillaan (Ulkoinen linkki) (Ulkoinen linkki), ennen kuin korjaavat päivitykset julkaistaan.

Lisätietoja Haavoittuvuustiedote 2/2024: Ivantin tuotteissa kriittisiä hyväksikäytettyjä haavoittuvuuksia (Ulkoinen linkki)