Kyberturvallisuuskeskuksen viikkokatsaus - 24/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Varmuuskopiot ovat tärkeä osa kiristyshaittaohjelmilta suojautumista
• Älä unohda tietoturvatietoisuutta myöskään loma-aikana
• Toukokuun kybersäässä sosiaalisen median tilimurrot aiheuttivat salamointia
• Järjestä harjoitus helpommin sähköpostin avulla – uusi ohje kertoo miten
• Haavoittuvuudet

Varmuuskopiot ovat tärkeä osa kiristyshaittaohjelmilta suojautumista

Varmuuskopiointi on tärkeä tietoturvakäytäntö, ja yksi keskeisimmistä tavoista varautua niin inhimillisten virheiden, laitevaurioiden, tietovuotojen, kuin myös kiristyshaittaohjelmien varalta.

Kiristyshaittaohjelmat voivat tuhota tai salata tartunnan saaneen organisaation tiedostot ja vaatia näistä lunnaita, mutta edes lunnaiden maksaminen ei aina takaa tiedostojen palautumista. Onkin erittäin tärkeää, että organisaatiolla itsellään on olemassa varmuuskopiot tiedostoista ja järjestelmistään.

Kehittyneet kiristyshaittaohjelmat varmuuskopioiden perässä

Rikolliset pyrkivät kehittämään yhä monimutkaisempia tapoja kiertää suojauksia, nykyään myös tekoälyä ja koneoppimista hyödyntäen. Rikolliset tietävät, että varmuuskopiot saattavat viedä heiltä mahdollisuuden kiristää uhria. Nykyisin useat kiristyshaittaohjelmat etsivät myös varmuuskopiotiedostot ja salaavat tai tuhoavat ne.

Varmuuskopioiden etsiminen ja salaaminen tai tuhoaminen on yhä useampaan kiristyshaittaohjelmaan sisältyvä ominaisuus. Ajankohtainen esimerkki on Akira-kiristyshaittaohjelma. Akira-kiristyshaittaohjelma salaa vain tietynlaisia tiedostotyyppejä kuten virtuaalikoneiden käyttämien virtuaalisten kiintolevyjen tiedostotyypit, jotka voivat toimia varmuuskopioina.

Kaksivaiheinen kiristäminen

Varmuuskopiointikäytäntöjen yleistyessä myös rikolliset kehittävät toimintatapojaan. Salauksen lisäksi uhria usein kiristetään varastettujen tietojen julkaisemisella. Lunnasrahojen saamisesta huolimatta osa toimijoista on julkaissut varastamiaan tietoja.

Kiristäminen voi tapahtua kahdessa vaiheessa. Ensimmäisessä lunnaita vaaditaan salattujen tiedostojen palauttamisesta ja toisessa vaiheessa vaaditaan uusia lunnaita sitä vastaan, ettei tietoja julkaista. Kiristystilanteissa kiristäjille maksaminen ei koskaan takaa tietojen palauttamista tai vuotamiselta säästymistä.

Varmuuskopioinnin abc

Onnistunut varmuuskopiointi on monen asian summa. Seuraavat käytännöt on hyvä ottaa haltuun, kun organisaation varmuuskopiointia suunnitellaan ja toteutetaan.

Kyberturvallisuuskeskuksen ohjeita kiristyshaittaohjelmatilanteisiin varautumista varten:

Älä unohda tietoturvatietoisuutta myöskään loma-aikana

Erilaiset huijaukset ja tietojenkalastelut yleistyvät lomakausien alkaessa. Lomakausien vaikutukset organisaatioiden resursseissa voivat houkutella rikollisia yrittämään onneaan esimerkiksi erilaisten laskutushuijauksien muodossa.

Kyberturvallisuuskeskus on kevään ja alkukesän aikana vastaanottanut ilmoituksia mm. erilaisista toimitusjohtajahuijauksista, valelaskuista, pankki- ja M365-tunnuksia kalastelevista sivustoista ja myös OmaVero-teemaisista tietojenkalastelusivustoista. Kaikilla näillä voidaan saada aikaan mittaviakin haittoja organisaatiossa. Tämä voi kuitenkin olla vältettävissä oikeanlaisilla käytännöillä ja henkilöstön kouluttamisella.

Vinkkejä lomakauden ajalle:

• Perehdytä hyvät tietoturvakäytännöt myös kesätyöntekijöille.
• Loma saattaa aiheuttaa muutoksia resurssien määrässä, älä anna tämän kuitenkaan olla syynä tietoturvallisesta työskentelystä poikkeamiselle.
• Lomakautena on syytä olla vielä normaalimpaakin tarkempana, sillä erilaisten tietoturvapoikkeamien määrä saattaa olla normaalia suurempi.
• Muista verkkolaitteiden tietoturva ja pidä ne päivitettyinä myös lomalla. 

Listasimme viime kesänä ohjeita erilaisten laskutushuijauksia koskien. Lomakauden alkaessa onkin hyvä hetki virkistää muistia ja ottaa hyvät käytännöt käyttöön:

Toukokuun kybersäässä sosiaalisen median tilimurrot aiheuttivat salamointia

Toukokuussa nähtiin valtavaa kasvua sosiaalisen median tilimurtojen ilmoitusmäärissä. Toukokuussa ilmoitusten määrä kasvoi noin 300 prosenttia alkuvuoden keskiarvoon verrattuna. Liikkeellä oli myös kaksoishuijauksia, joissa henkilö saa tekstiviestitse tai puhelimitse useamman yhteydenoton, joissa varoitetaan hänen rahojensa olevan vaarassa, ja kehotetaan siirtämään ne turvatilille.

Järjestä harjoitus helpommin sähköpostin avulla – uusi ohje kertoo miten

Harjoituksen järjestämisen haasteena voi olla yhteisen aikataulun ja paikan löytäminen kaikkien kalenterista. Harjoittelun voi järjestää helpomminkin ja kaikkien kannalta joustavammin ilman kalliita järjestelyjä ja harjoitusympäristöä: sähköpostilla.

Traficomin julkaisema uusi ohje kertoo, miten sähköpostiharjoitus toteutetaan joustavasti niin, että siitä saadaan parhaat tulokset organisaation toiminnan kehittämiseen. Kun harjoitustapahtumalle annetaan tarpeeksi tilaa ja aikaa, myös tulokset vastaavat paremmin todellisuutta ja vastauksia saadaan oikeisiin kysymyksiin. 

Haavoittuvuudet

CVE: CVE-2023-27997
CVSS: 9.2
Mikä: Kriittinen haavoittuvuus Fortinetin FortiOS ja FortiProxy -ohjelmistoissa
Tuote: FortiOS-6K7K, FortiProxy, FortiOS
Korjaus: Päivitä ohjelmisto uusimpaan versioon. Tarkemmat tiedot haavatiedotteessamme (Ulkoinen linkki)

CVE: Useita
CVSS: Korkein 9.8
Mikä: Microsoftin päivitystiistai
Tuote: Useat Microsoftin tuotteet
Korjaus: Asenna uusimmat päivitykset. Tarkemmat tiedot Microsoftin tiedotteessa (Ulkoinen linkki)

CVE: CVE-2023-3214, CVE-2023-3215, CVE-2023-3216, CVE-2023-3217
CVSS: -
Mikä: Kriittinen päivitys Google Chrome verkkoselaimiin
Tuote: Google Chrome for Desktop (Mac, Linux, Windows)
Korjaus: Tarkemmat tiedot Googlen tiedotteessa (Ulkoinen linkki)