Suomalaiset organisaatiot Akira-kiristyshaittaohjelmien kohteena
Tietoturva Nyt!
Kyberturvallisuuskeskus vastaanotti 12 ilmoitusta Akira-kiristyshaittaohjelmatapauksista kotimaisilta organisaatioilta vuonna 2023. Tapaukset liittyivät erityisesti heikosti suojattuihin Ciscon VPN-toteutuksiin tai niiden paikkaamatta jääneisiin haavoittuvuuksiin. Toipuminen on yleensä vaikeaa.
Kesäkuussa 2023 ensimmäisen kerran Suomessa havaittu Akira-kiristyshaittaohjelma on Kyberturvallisuuskeskuksen havaintojen mukaan ollut erityisen aktiivinen vuoden lopulla. Joulukuussa Kyberturvallisuuskeskukselle ilmoitetuista kiristyshaittaohjelmatapauksista kuusi seitsemästä koski Akira-perheen haittaohjelmia. Näistä kolmen havaittiin aktivoituneen joulunajan pidempien vapaiden aikaan. Lisäksi joulun aikana ilmeni yksi toisesta kiristyshaittaohjelmaperheestä aiheutunut tapaus.
Kiristyshaittaohjelmatapauksista koituu organisaatioille yleensä merkittävästi vaivaa ja kustannuksia. Hyökkäykset korostavat valmistautumisen merkitystä ja etukäteen mietittyjä toimintatapoja, sillä tilanne poikkeaman alettua on painostava.
- Kiristyshaittaohjelmahyökkäyksiin on usein vaikea reagoida hyökkäyksen alkamisen jälkeen. Näissä tapauksissa hyvä varautuminen antaa paljon paremmat lähtökohdat toimia, kun poikkeamatilanne tapahtuu, kertoo Kyberturvallisuuskeskuksen tietoturva-asiantuntija Olli Hönö.
Akira on ns. Ransomware as a Service (RaaS) -mallilla toimiva haittaohjelma, jossa ammattimaisesti toimiva kyberrikollinen tarjoaa valmista haittaohjelmaa ja -infrastruktuuria muiden käyttöön maksua vastaan. Tällöin varsinaisen hyökkäyksen tekijän ei välttämättä tarvitse olla teknisesti tarpeeksi edistynyt oman haittaohjelman luodakseen, vaan sille riittää kyvykkyys etsiä ja löytää pääsyjä potentiaalisten uhrien verkkoihin.
Akiraa ja yleisemmin RaaS-mallin kiristyshaittaohjelmia käyttävät ja levittävät uhkatoimijat ovat tyypillisesti taloudellisesti motivoituneita sekä opportunistisia, eli valikoivat uhrinsa helppouden perusteella. Hyökkäyksen onnistuttua ne kuitenkin useimmiten pyrkivät tutustumaan uhriorganisaatioon lunnasvaatimuksen mitoittamiseksi arvioiden kohteen maksukykyä sekä mahdollisesti menetettyä dataa ja sen merkitystä. Ne saattavat myös pyrkiä neuvottelemaan uhrin kanssa.
Sisään huonosti suojatuista VPN-yhdyskäytävistä
Vuoden 2023 lopulla tiedossamme olevissa kiristyshaittaohjelmatapauksissa korostui pääsy uhrin verkkoon huonosti suojatun Ciscon ASA- tai FTD-laitteissa olevan VPN-yhdyspisteen kautta. Kyseisten laitteiden ohjelmistoista löydettiin vuoden 2023 syksyllä haavoittuvuus (CVE-2023-20269), joka mahdollistaa väsytyshyökkäyksen (brute force) käytön toimivien VPN-tunnusten etsintään. Hyökkäyksellä ei kuitenkaan voi ohittaa monivaiheista tunnistautumista.
Vaarassa ovatkin olleet tunnukset, joita ei ole suojattu monivaiheisella tunnistautumisella. Osassa tuntemistamme tapauksista vaikuttaa olevan käytetty vuotaneita tunnuksia, eikä niissä ole viitteitä laajamittaisesta väsytyshyökkäyksestä.
- Verkkolaitteiden päivitykset ja monivaiheisen tunnistautumisen käyttö ovat erityisen tärkeitä, sillä nämä Akira-ryhmän hyökkäykset olisi todennäköisesti voitu estää kyseisillä toimenpiteillä, Hönö sanoo.
Kyberturvallisuuskeskuksen tietojen mukaan joissakin tapauksissa hyökkääjällä on todennäköisesti ollut pääsy verkkoon, mutta tunkeutuminen on havaittu ennen kiristyshaittaohjelman käynnistämistä. Ensi pääsyn jälkeen Akiraa käyttävä hyökkääjä kartoittaa verkkoa ja lopulta kohdistaa toimensa varmuuskopioihin ja tärkeimpiin palvelimiin. Windows-palvelimilta varastetaan käyttäjätunnuksia ja salasanoja sekä salataan tärkeimmät tiedostot. Virtualisointipalvelimilla (hypervisor, etenkin VMwaren tuotteet) salataan virtuaalikoneiden levyt. Kaikki verkossa käytetyt salasanat on syytä vaihtaa mikäli kiristyshaittaohjelmaan viittaavaa toimintaa havaitaan, oli siitä seurannut vaikutuksia tai ei. Hyökkääjät pyrkivät usein säilyttämään jalansijan uhrin verkossa.
Varmuuskopiot etsitään ja hävitetään
Kaikissa tapauksissa varmuuskopiot on pyritty huolellisesti hävittämään ja tämän eteen hyökkääjä näkeekin vaivaa. Verkossa olevat usein varmistuksiin käytettävät NAS-palvelimet (Network-Attached Storage) on murrettu ja tyhjennetty, kuten myös automaattiset nauhavarmistuslaitteet, ja lähes kaikissa tuntemissamme tapauksissa kaikki varmuuskopiot olikin menetetty. Kerroimme NAS-laitteista ja kiristyshaittaohjelmista viikkokatsauksessa 37/2022.
Ainoaksi luotettavaksi tavaksi suojautua varmuuskopioiden tuhoamista vastaan on osoittautunut ns. offline-varmuuskopioiden ottaminen. Ne ovat varmuuskopioita, joihin ei pääse millään tavalla käsiksi suojattavasta verkosta, vaan esimerkiksi vain käymällä fyysisesti paikan päällä. On tärkeää, että organisaatioiden varmuuskopiot sijaitsevat verkon lisäksi myös fyysisesti eri paikoissa. Tällöin ei suojauduta vain kyberhyökkäykseltä, vaan samanaikaisesti myös fyysisen maailman uhkilta.
- Tärkeimpien varmuuskopioiden osalta olisi suositeltavaa seurata 3-2-1-sääntöä. Eli säilytä vähintään kolmea varmuuskopiota kahdessa eri paikassa ja pidä yksi näistä kopioista kokonaan poissa verkosta, Hönö kertaa.
Tietovuodot uhkaavat luottamuksellisuutta
Akiraan liittyy yleensä aina myös tietovuoto. Organisaatioiden kehitettyä varmuuskopiointi- ja palautumisprosessejaan uhkatoimijat pyrkivät lähes aina saamaan lisävipua vaatimuksilleen ns. double extortion -tekniikalla, eli varastamalla tiedot ja uhkaamalla niiden julkaisulla. Tällä voi olla merkittäviä seurauksia niin yksittäisten ihmisten arkaluontoisten tietojen tietosuojan kuin vaikkapa yrityssalaisuuksien kannalta.
Myös muut kiristyshaittaohjelmat pyrkivät hyödyntämään tietojen varastamista lisäkeinona. Uutena trendinä Suomen ulkopuolelta tunnetaan hiljattain tapauksia, joissa tiedot on vain varastettu, eikä ympäristöä ole viitsitty salata.
Tietojen varastaminen on siitä varsin viheliäinen toimintatapa, että tietojen vuodettua niitä on mahdotonta saada täydellä varmuudella takaisin. Vaikka kiristäjät lupaavat poistaa tiedon lunnaiden maksua vastaan, mikään ei oikeasti takaa rikollisen tahon tekevän niin. Mikään ei myöskään takaa, että kaikki tiedon kopiot olisi varmasti peruuttamattomasti hävitetty. Vaikka tietoja ei julkistettaisi, on aina mahdollisuus että varastettu data on ennen poistamista käyty läpi arvokkaan tiedon varalta tai tietoa on voitu luovuttaa kolmannelle taholle edelleen käytettäväksi.
Lunnaita ei koskaan tule maksaa, sillä se tukee rikollisuuden ja kiristystoiminnan jatkumista.
Mikäli joudut kiristyshaittaohjelmahyökkäyksen uhriksi tai epäilet sellaista, ole yhteydessä Kyberturvallisuuskeskukseen.
Lisätietoja
- Virus alerts: Akira ransomware [CERT-India] (Ulkoinen linkki)
- Akira ransomware compromised at least 63 victims since March, report says [The Record] (Ulkoinen linkki)
- Cisco VPN flaw faces attempted Akira ransomware attacks [TechTarget] (Ulkoinen linkki)
- Akira Ransomware Targeting VPNs without Multi-Factor Authentication [Cisco Blogs] (Ulkoinen linkki)
- CVE-2023-20269 [NIST NVD] (Ulkoinen linkki)
- Akira, again: The ransomware that keeps on taking [Sophos] (Ulkoinen linkki)
- Akira Ransomware: What You Need To Know [Proven Data] (Ulkoinen linkki)
- Ransomware Roundup - Akira [Fortinet] (Ulkoinen linkki)
- Akira Ransomware [Trellix] (Ulkoinen linkki)
- Akira [SentinelOne] (Ulkoinen linkki)