Kyberturvallisuuskeskuksen viikkokatsaus - 46/2023

Tällä viikolla katsauksessa käsiteltäviä asioita

• Eri kiristyshaittaohjelmatoimijat näkyvät myös Suomessa
• ServiceNow-alustan poikkeamat johtaneet tietovuotoihin
• Sähköpostien tietomurtoaallosta saatiin kymmenittäin ilmoituksia
• Tietoturvan kehittämisen tukea 24 yritykselle - enintään 15 000 euron tukia vielä myöntämättä

Eri kiristyshaittaohjelmatoimijat näkyvät myös Suomessa

Kuluneen vuoden aikana eri kiristyshaittaohjelmat ovat levinneet yhä nopeammin ympäri maailmaa. Myös kiristyshaittaohjelmien variaatiot sekä toimijoiden määrä ovat kasvaneet.

Suomessa vuosina 2020–2022 Kyberturvallisuuskeskukselle raportoitiin keskimäärin 40 kiristyshaittaohjelmatapausta vuodessa. Vuoden 2023 alkuvuosi osoitti samankaltaista trendiä, mutta marraskuun aikana on havaittu maltillista nousua ilmoitusmäärissä. Ilmoitusmäärien tarkastelussa on huomioitava, että ne sisältävät niin kansalaisten kotiverkkojen verkkolevyihin kohdistuneita kuin monikansallisiin suuriin organisaatioihin kohdistuneita tapauksia, sekä kaikkea näiden väliltä. Kyberturvallisuuskeskukselle raportoiduissa tapauksissa enemmistössä ovat maailmallakin näkyvät kiristyshaittaohjelmavariaatiot.

ServiceNow-alustan poikkeamat johtaneet tietovuotoihin

Kerroimme ServiceNow -alustan virhekonfiguraatiosta Viikkokatsauksessa 44/2023 (Ulkoinen linkki) 

Kyberturvallisuuskeskuksella on tiedossa useita tapauksia, joissa tätä konfiguraatiovirheen mahdollistamaa tietoturva-aukkoa on hyödynnetty. Ongelman havaitseminen ja rajoittaminen on erittäin tärkeää. Osassa tapauksia on päästy vähemmällä, mutta joissain organisaatioissa on havaittu myös tietovuoto jopa henkilötietojen osalta. Kyberturvallisuuskeskus kehottaa ServiceNow:ta käyttäviä organisaatioita tarkistamaan viimeistään nyt oman palvelunsa konfiguraation.

Sähköpostien tietomurtoaallosta saatiin kymmenittäin ilmoituksia

Suomalaisten organisaatioiden sähköpostitileihin kohdistunut turvapostiteemainen tietojenkalastelukampanja on laantunut ja poistimme asiasta annetun varoituksen 8.11.2023. Rikolliset kalastelivat organisaatioiden työntekijöiden käyttäjätunnuksia ja salasanoja sähköpostitse ja huijaussivujen avulla. Viestit oli väärennetty muistuttamaan yleisesti käytössä olevia turvapostiratkaisuja. Linkit turvapostipalveluihin oli kuitenkin muokattu ohjaamaan rikollisten hallussa oleville sivustolle.

Haltuunsa saamillaan tunnuksilla rikolliset yrittivät kirjautua Microsoft 365 -sähköpostijärjestelmiin. Kaapattuja tilejä käytetiin uusien tietojenkalasteluviestien lähettämiseen organisaation sisäisesti sekä sähköpostitilin yhteystiedoista poimittuihin muihin organisaatioihin.

Eniten ilmoituksia kampanjasta tuli lokakuun puolivälin jälkeen ja varoituksen avulla (Ulkoinen linkki) halusimme parantaa organisaatioiden tietoisuutta leviävästä kampanjasta.

Tietojenkalastelukampanjassa hyödynnettiin kymmeniä erilaisia turvapostiteemaisia viestipohjia. Useissa sähköposteissa käytetiin organisaation logoa sekä nimeä uskottavuuden lisäämiseksi.

Turvapostien aiheita on ilmeisesti yritetty muokata sopivaksi kullekin sektorille. Koulutussektorille on laitettu turvapostiviestejä esimerkiksi "Opintojen eteneminen" -otsikolla ja kuntasektorille otsikolla "Läsnäolotulkkaus". Kampanjassa oli myös havaintoja oikeiden turvapostiviestien hyödyntämisestä kalastelun välineenä. Kalasteluun ohjaava linkki oli näissä tapauksissa turvapostiviestin sisällössä.

Kyberturvallisuuskeskukselle tehtyjen ilmoitusten perusteella kampanjan aikana lähetettiin yli 10 000 kalasteluviestiä ja organisaatioissa murrettiin yhteensä useita satoja tilejä. Kalastelua ilmoitettiin erityisesti terveydenhuolto-, koulutus- ja kuntasektoreilla.

Kyseiset sektorit ovat voineet päätyä kohteeksi, koska ne ovat työvoimavaltaisia aloja, joissa säännöllisesti käsitellään henkilötietoja sähköpostitse. Kun turvaposti on jokapäiväinen työkalu, turvapostiteemaiset huijausviestit eivät ehkä ole herättäneet vastaanottajissa erityistä tarkkaavaisuutta.

Aktiivisen yhteistyön avulla kampanjasta saatiin kerättyä hyvin tietoa sekä tiedotettua uhreiksi joutuneita organisaatioita.

Tietoturvan kehittämisen tukea 24 yritykselle - enintään 15 000 euron tukia vielä myöntämättä

Tietoturvan kehittämisen tuen enintään 100 000 euron tukina myönnettäväksi varattu 2 miljoonan euron määräraha on nyt myönnetty kokonaan. Tukea myönnettiin lopulta 24 yritykselle, kun kaiken kaikkiaan enintään 100 000 euron tukea haki 150 yritystä. Suuri määrä tukea hakeneista yrityksistä jäi siten ilman tukea. Liikenne- ja viestintävirasto Traficom tulee antamaan kyseisille yrityksille vielä erillisen päätöksen asiassa.

Tietoturvan kehittämisen tukena myönnettäväksi varatusta 6 miljoonan euron määrärahasta on vielä myöntämättä noin miljoona euroa, joka myönnetään enintään 15 000 euron tukina. Arviolta jäljellä oleva määräraha riittää noin 60–70 tukea hakeneelle yritykselle, kun yhteensä 232 yrityksen hakemus on vielä käsittelemättä. Siten on todennäköistä, että suuri määrä myös enintään 15 000 euron tukea hakeneista yrityksistä jää ilman tukea. Tukea myönnetään hakemusjärjestyksessä ja parhaillaan käsitellään 21.12.2022 tulleita hakemuksia.

Haavoittuvuudet

CVE: CVE-2023-5869
CVSS: 8.8
Mikä: Kriittinen haavoittuvuus POSTGRESQL-tietokannan hallintajärjestelmässä
Tuote: POSTGRESQL
Korjaus: Päivitys

CVE: CVE-2023-36052
CVSS: 8.6
Mikä: Azure CLI REST tietovuodon mahdollistava haavoittuvuus
Tuote: Azure CLI REST
Korjaus: Päivitys

CVE: CVE-2023-34060
CVSS: 9.8
Mikä: VMware Cloud Director tunnistautumisen ohittamisen mahdollistava haavoittuvuus
Tuote: VMware Cloud Director
Korjaus: Tarkista oman versiosi perusteella VMwaren tiedotteesta (Ulkoinen linkki) mahdollinen haavoittuvuustilanne ja korjaustoimenpiteet.