Kyberturvallisuuskeskuksen viikkokatsaus - 44/2022

Tällä viikolla katsauksessa käsiteltäviä asioita

• Palvelunestohyökkäysten määrä on kasvussa - vaikutukset vähäisiä
• Emotet-haittaohjelmasta havaintoja maailmalta
• Tietomurrosta epäilty vangittu poissaolevana historiallisessa Vastaamon tapauksessa
• Tunnista turvallinen verkkosivu osoitteen perusteella
• Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa

Palvelunestohyökkäysten määrä on kasvussa - vaikutukset vähäisiä

Kyberturvallisuuskeskus on vastaanottanut syksyllä kasvavissa määrin ilmoituksia palvelunestohyökkäyksistä. Kerroimme ilmiöstä lyhyesti jo viime viikkojen Viikkokatsauksessa 42/2022  ja Viikkokatsauksessa 43/2022 .

Lokakuu on ollut palvelunestohyökkäysten osalta kuluvan vuoden aktiivisin, ja kesän jälkeen ilmoitusmäärät Kyberturvallisuuskeskukselle ovat kasvaneet kuukausi kuukaudelta. Kyberturvallisuuskeskus on vastaanottanut tänä vuonna enemmän ilmoituksia palvelunestohyökkäyksistä kuin viime vuonna.

Nyt ilmoitetuilla palvelunestohyökkäyksillä on ollut vain vähäisiä vaikutuksia niiden kohteisiin. Kyberturvallisuuskeskus saa tietoa palvelunestohyökkäyksistä muun muassa vastaanottamiensa ilmoitusten perusteella ja muodostaa tietojen perusteella kansallista tilannekuvaa. Jokainen ilmoitus on tärkeä, vaikka hyökkäyksellä ei olisikaan ollut vaikutuksia organisaatiolle. Tilannekuvasta voidaan päätellä esimerkiksi hyökkäysmääriä, eri sektoreiden tilanne, ja verrata analyysin perusteella Suomen tilannetta kansainvälisiin tietoihin.

Lisätietoja sivuiltamme löytyvästä tuoreesta artikkelista:

Emotet-haittaohjelmasta havaintoja maailmalta

Noin viisi kuukautta sitten maailmalla hiljentynyt Emotet-haittaohjelma näyttää aktivoituneen jälleen. Emotet-haittaohjelma leviää sähköpostin liitetiedostojen kautta. Tällä hetkellä maailmalta raportoidut tapaukset ovat pitäneet sisällään joko Excel- tai Word -tiedostoja, jotka ovat voineet saapua myös salasanasuojatuissa pakatuissa ZIP-tiedostoissa. Viestien ja tiedostojen aiheet ovat liittyneet mm. laskutukseen, skannauksiin ja erilaisiin lomakkeisiin.

Varsinkin Microsoft Office -tuotteissa nykyään käytöstä oletuksena poistettu makrojen suorittaminen vaikeuttaa myös Emotetin leviämistä. Tämän hetken tietojen mukaan haittaohjelma pyrkii saamaan käyttäjän siirtämään saastuneen tiedoston tietokoneen Templates-kansioon, jolla edellä kuvattua suojaustoimintoa pystytään kiertämään.

Saadut havainnot Emotet-haittaohjelmista ovat tulleet laajasti ympäri maailmaa, eikä sillä näin ollen ole selkeää maantietellistä lähtöpistettä. Näin raportoi myös Emotetia seuraava palvelu (Ulkoinen linkki). Syklittäinen toiminta on ollut ominaista Emotet-haittaohjelmalle aiemminkin, joten noin viiden kuukauden mittainen tauko ei ole poikkeava. Ominaista on myös se, että taukojen aikana sekä bottiverkot että itse varsinaiset haitalliset koodit päivittyvät, kuten on myös nyt havaittu. Kyberturvallisuuskeskus julkaisi vuonna 2020 elokuussa vakavan varoituksen (Ulkoinen linkki), silloisen vakavan Emotet-haittaohjelmatilanteen vuoksi. Kyberturvallisuuskeskus seuraa kampanjaa ja viestii, mikäli Emotet-havaintoja löytyisi myös Suomesta.

Tunnista turvallinen verkkosivu osoitteen perusteella

Nettisivuja ja sähköpostia käyttäessä on tärkeää pitää pää kylmänä kaikenlaisten viestien edessä. Älä tee hätiköityjä päätöksiä, vaikka sinulle luvattaisiin satumaisia voittoja tai uhattaisiin "pankkitilin jäädyttämisellä" tai tekaistuilla rikossyytteillä.

Aidon näköinen ulkoasu ei takaa verkkosivun sisällön aitoutta. Rikolliset voivat kopioida verkkosivujen sisällön ja ulkoasun aidoilta sivuilta ja muokata tuottamiaan kopioita haitallisella tavalla. Tyypillisesti rikolliset pyrkivät harhauttamaan käyttäjää antamaan esimerkiksi käyttäjätunnuksensa ja salasanansa hallitsemillaan sivuilla.

Turvallisen verkkosivun tunnistaminen ei aina ole yksinkertaista, mutta tämän jutun avulla paljon helpompaa! Puramme kahden verkkosivun osoitteet osiin ja käymme ne läpi kohta kohdalta.

Tietomurrosta epäilty vangittu poissaolevana historiallisessa Vastaamon tapauksessa

Keskusrikospoliisin johtaman viranomaisyhteistyön ansiosta Vastaamon tietovuototapauksessa tapahtui viime perjantaina merkittävä edistysaskel. Törkeästä tietomurrosta epäilty suomalaismies on vangittu poissaolevana, sillä hänen olinpaikkaansa ei tiedetä. Henkilöä epäillään niin tietomurron kuin sitä seuranneenkin kiristyksen toteuttamisesta, josta YLE kertoo sivuillaan (Ulkoinen linkki). Myös kolmea Vastaamon entistä työntekijää epäillään tietosuojarikoksesta henkilötietojen törkeän huolimattomasta käsittelystä johtuen, lisätietoja YLE:n uutisartikkelista (Ulkoinen linkki). 

Psykoterapiakeskus Vastaamon tietomurto oli historiallinen tietoturvaloukkaustapaus Suomessa ja maailmalla. Tietomurtoa seurasivat kiristysviestit, joissa sekä Vastaamoa että sen asiakkaita vaadittiin maksamaan lunnaita, jos he halusivat välttää potilastietojensa vuotamisen internetiin muiden saataville. Iso osa tiedoista päätyi lopulta pimeään verkkoon kaikkien saataville. Tämänlaista kiristyshyökkäystä ei oltu aiemmin nähty, eikä vastaavaa ole tapahtunut Vastaamon jälkeen Suomessa tai muualla maailmassa. Erityisen kylmäävän tapauksesta tekee kyseessä olevien tietojen laatu: todella henkilökohtaisia tietoja psykoterapiasta käytettiin kenties jo valmiiksi heikommassa asemassa olevien ihmisten kiristämiseen. Lisäksi vuoto sisälsi Vastaamon asiakkaina olleiden ihmisten henkilöturvatunnuksia.

Heti tapauksen tultua julkisuuteen, aloittivat viranomaiset tiiviin yhteystyön uhrien tukemiseksi sekä syyllisten kiinni saamiseksi. Useiden eri viranomaisten ja vapaaehtoistoimijoiden kesken aloimme koota ohjeita kiristyksen uhreille ja julkaisimme tietovuotoapu.fi -verkkosivuston apua tarvitseville alle viikko tapauksen ilmitulosta. Suuri halu yhteisen hyvän tuottamiseen mahdollisti toimivan yhteistyön ja saimme erittäin nopeasti tarjottua tukea sitä tarvitseville. Tietovuotoapu.fi -palvelu (Ulkoinen linkki) on edelleen toiminnassa tietovuodon kohteeksi joutuneiden tueksi. Tapauksen jälkeen internetiin on ilmestynyt Vastaamolta vuotaneiden tietojen tarkasteluun tehtyjä hakukoneita, joita Kyberturvallisuuskeskus on aktiivisesti pyrkinyt ajamaan alas yhteistössä verkkosivuja isännöivien tahojen kanssa.

Lisäksi tämän vuoden alkupuolella keskusrikospoliisi havaitsi, että Vastaamon tietovuodossa olleiden henkilöiden henkilötietoja on alettu hyödyntää tilauspetoksissa ja muissa identiteettivarkauksissa. Lisätietoja aiheesta Helsingin Sanomien artikkelista (Ulkoinen linkki). Kehoitamme edelleen kaikkia tietovuodon uhriksi joutuneita tekemään asiasta rikosilmoituksen (Ulkoinen linkki) lähimmällä poliisiasemalla tai verkossa. Myös Kyberturvallisuuskeskus vastaanottaa ilmoituksia ja tietoa Vastaamon tapaukseen liittyen.

Seuraamme tapausta edelleen ja tuemme tietovuodon sekä kiristyksen uhriksi joutuneita. Olemme koonneet sivuillemme artikkelin Kysymyksiä ja vastauksia identiteettivarkauden tai tietovuodon uhrille (Ulkoinen linkki). Lisäksi Suomi.fi -palvelusta (Ulkoinen linkki) löytyy ohjeita tietovuodon uhriksi joutuneille. Myös laajalti vapaaehtoisvoimin toimiva Rikosuhripäivystys (Ulkoinen linkki) tukee kaikkia rikoksen uhriksi joutuneita ja vastaa kysymyksiin. 

Mitä tapauksesta opittiin?

Koko maata puhuttanut tapaus nosti esille tärkeitä oppeja jokaiselle organisaatioille: omat palvelut tulee tuntea ja niitä tulee tarkkailla ja arvioida. Jos omat resurssit tai osaaminen eivät riitä, pitää pyytää apua alan ammattilaisilta. Esimerkiksi omien verkkopalvelujen kartoitus ja järjestelmien tietoturvan tason testaaminen ovat pieni satsaus, jos riskinä on vakavan tietomurron mahdollisuus. Myös Kybermittari  on erinomainen työkalu, jonka avulla organisaatio selvittää yleiskuvan organisaation kyberkyvykkyyksien tasosta.

Tapaus herätti paljon yhteiskunnallista keskustelua tietoturvan ja tietosuojan tilasta Suomessa. Vuonna 2021 laadittiin Valtioneuvoston periaatepäätös tietoturvan ja tietosuojan parantamiseksi yhteiskunnan kriittisillä toimialoilla. Kyberturvallisuuskeskus on avainroolissa periaatepäätöksen tavoitteiden, kuten entistä tehokkaamman ja järjestäytyneemmän yhteistyön edistämisessä. 

Vastaamon tietovuototapaus on eittämättä yksi Suomen kyberturvallisuushistorian käännekohdista. Se muistutti näkyvästi kyberturvallisuuden merkityksestä nyky-yhteiskunnassa ja toi ennennäkemättömällä tavalla yhteen eri toimijoita valtionhallinnosta, vapaaehtoiskentästä sekä yksityiseltä sektorilta rikoksen uhreiksi joutuneiden auttamiseksi.

Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa

Tietojen salaamiseen ja salattuun välittämiseen käytetyn OpenSSL-kirjaston versiosta 3.0 on löydetty kaksi vakavaa haavoittuvuutta. Uusin versio 3.0.7 on syytä päivittää mahdollisimman pian. Haavoittuvuudet eivät koske vanhempia 1.1.1 tai sitä edeltäneitä versioita.

OpenSSL-kirjastoa hyödynnetään lukuisissa järjestelmissä, mutta haavoittuva versio 3.0 ei ole vielä käytössä niin laajasti kuin aikaisemmat versiot. OpenSSL on käytössä esimerkiksi palvelimissa, verkkolaitteissa, sulautetuissa järjestelmissä ja konttitoteutuksissa.

Aluksi kriittiseksi arvioidut haavoittuvuudet CVE-2022-3602 ja CVE-2022-3678 muuttuivat OpenSSL:n ja yhteistyötahojen tarkastelun jälkeen luokitukseltaan vakaviksi. Sähköpostiosoitteiden käsittelyyn liittyvät haavoittuvuudet voivat pahimmillaan mahdollistaa etänä suoritettavat komennot - mutta todennäköisin tilanne on palvelunestotila.

Lisätietoja haavoittuvuusartikkelistamme:

Haavoittuvuudet

Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa
CVE: CVE-2022-3602 ja CVE-2022-3678
Mikä: Kaksi vakavaa haavoittuvuutta OpenSSL 3.0 -versiossa
Tuote: OpenSSL 3.0
Korjaus: Päivitä OpenSSL versiot 3.0.0 - 3.0.6 versioon 3.0.7.

Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.