Tietoturva Nyt!
Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso 16.9. - 22.9.2022). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin. TLP:CLEAR
Tällä viikolla katsauksessa käsiteltäviä asioita
- Tietomurtoyritysten määrä kasvussa - monivaiheinen tunnistautuminen usein rikollisten viimeinen este, muttei takaa täydellistä turvaa
- Kalasteluviestikampanjoita kuntasektorilla
- Haittaohjelmien levitystä sähköpostin liitetiedostoina
- TIETO22-harjoituksen kolmepäiväinen pelivaihe järjestettiin kuluneella viikolla
- Toimintaohjeita kyberhyökkäystilanteista toipumiseen
- Viikon merkittävimmät haavoittuvuudet
- Viikon 38/2022 Kyberturvallisuuskeskuksen julkaisut
Tietomurtoyritysten määrä kasvussa - monivaiheinen tunnistautuminen usein rikollisten viimeinen este, muttei takaa täydellistä turvaa
Luvattomien kirjautumisyritysten määrä eri organisaatioita kohtaan on nousussa. Useassa Kyberturvallisuuskeskuksen tietoon tulleessa tapauksessa monivaiheinen tunnistautuminen on estänyt rikollisen pääsyn tilille.
Rikolliset toteuttavat murtoyrityksiä monin eri tavoin. Yksi yleisimmistä on aiemmasta tietovuodosta löytyneiden tunnusten käyttäminen. Vuotaneita sähköposti ja salasana -yhdistelmiä koitetaan moniin eri palveluihin siinä toivossa, että kyseinen henkilö käyttää samaa salasanaa eri palveluissa. Toinen yleinen tapa on tunnusten koneellinen arvaaminen (brute force, password spraying), jossa kirjautumista yritetään käyttäen yleisimpiä heikkoja salasanoja kuten password1234 tai qwerty1234. Vinkkejä hyvän salasanan luomiseen löydät sivuiltamme täältä (Ulkoinen linkki) (linkki Kyberturvallisuuskeskuksen sivuille) ja lisätietoa turvallisista tunnistautumiskäytännöistä täältä (Ulkoinen linkki) (linkki Kyberturvallisuuskeskuksen sivuille). [1] [2]
Monivaiheinen tunnistautuminen (MFA, multifactor authentication) tarkoittaa sitä, että kirjautumishetkellä käyttäjän henkilöllisyys tarkistetaan salasanan lisäksi jotain toista kautta, esimerkiksi puhelimen push-ilmoituksella tai tekstiviestitse vastaanotettavalla kertakäyttösalasanalla.
Useissa tietoomme tulleissa tapauksissa monivaiheinen tunnistautuminen on toiminut viimeisenä esteenä rikollisten pääsyssä organisaation sisään, kun käyttäjä on saanut ilmoituksen tuntemattomasta kirjautumisyrityksestä ulkomailta. Näissä tapauksissa kirjautumista ei tule missään nimessä hyväksyä ja vaikka hyökkääjän sisäänpääsy estyi, tulee rikollisten haltuunsa saama salasana aina vaihtaa. Monivaiheinen tunnistautuminen onkin nykyisin jo laajassa käytössä ja muun muassa Microsoft tulee poistamaan yksivaiheisen kirjautumisen Exchange Online sähköpostipalvelustaan [3]. Lisätietoja monivaiheisesta tunnistautumisesta ja sen käyttöönotosta löydät sivuiltamme täältä (Ulkoinen linkki) (linkki Kyberturvallisuuskeskuksen sivuille). [4]
Vaikka monivaiheinen tunnistautuminen suojaa tehokkaasti käyttäjätilejä, ei sitä voida pitää täydellisenä suojauksena. Rikolliset kehittävät jatkuvasti uusia hyökkäystaktiikoita entistä tehokkaampien suojausten kiertämiseksi. Esimerkiksi Uberin hiljattaisessa tietomurrossa hyökkääjä pääsi kirjautumaan sisään varastetuilla tunnuksilla, vaikka käyttäjällä olikin monivaiheinen tunnistautuminen käytössä. Hyökkääjä yritti sisäänkirjautumista varastetuilla tunnuksilla toistuvasti aiheuttaen uhrille useita push-ilmoituksia kirjautumisen hyväksymiseksi. Lopulta käyttäjä hyväksyi yhden kirjautumisyrityksen puhelimeltaan. Tällöin hyökkääjä pääsi kirjautumaan sisään ja jatkamaan hyökkäystään Uberin tietojärjestelmissä. [5]
Tämänlaisessa väsytyshyökkäyksessä monivaiheista tunnistautumista vastaan (MFA fatigue attack) voidaan aiheuttaa uhrin puhelimeen niin monta peräkkäistä kirjautumisilmoitusta, ettei sitä voi käyttää enää mihinkään muuhun. Hyökkäyksissä kohteena olevalle uhrille saatetaan myös soittaa tai lähettää viesti, jossa esiinnytään organisaation IT-tukena ja kehotetaan hyväksymään kirjautuminen. [6] Väsytyshyökkäyksen torjumiseksi monivaiheiseen tunnistautumiseen suositellaan puhelimen push-ilmoituksen sijaan muita tapoja, kuten todennussovelluksen kertakäyttösalasanaa tai fyysistä todennuslaitetta.
[1] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/pidempi-parempi-nain-teet-hyvan-salasanan (Ulkoinen linkki)
[2] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/salasanat-haltuun (Ulkoinen linkki)
[3] https://techcommunity.microsoft.com/t5/exchange-team-blog/basic-authentication-deprecation-in-exchange-online-september/ba-p/3609437 (Ulkoinen linkki)
[4] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/monivaiheinen-tunnistautuminen-suojaa-kayttajatilejasi (Ulkoinen linkki)
[5] https://www.uber.com/newsroom/security-update (Ulkoinen linkki)
[6] https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/ (Ulkoinen linkki)
Kalasteluviestikampanjoita kuntasektorilla
Erilaiset kalasteluviestit ovat olleet etenkin kuntasektorin riesana tällä viikolla. Viestien teemat vaihtelivat vakuutusteemaisista turvaposteista ja lastensuojeluilmoituksista erilaisiin palkkioteemoihin. Kalasteluviestejä lähetettiin myös murretuilta tileiltä, jotka saavat ne vaikuttamaan aidommilta vastaanottajien silmissä.
Yle uutisoi 22.9. Kuhmoisten kunnan tilimurrosta, jonka avulla hyökkääjät lähettivät noin 1500 kalasteluviestiä eteenpäin.
"Pirkanmaalla sijaitsevan Kuhmoisten kunnan julkaiseman tiedotteen mukaan ulkopuolinen taho oli päässyt kirjautumaan rehtorin sähköpostiin ja lähettänyt sähköposteja tuhansiin osoitteisiin. Viestien otsikkona on "Lastensuojeluilmoitus", joka omalta osaltaan hämää vastaanottajia avaamaan viestin." [1]
Kuntasektorilla huijarit tavoittelevat erityisesti sähköpostitilien käyttäjätunnuksia. Käyttäjän syöttäessä tunnuksensa kalastelusivulle on varmaa, että hyökkääjä tavoittelee pääsyä sähköpostitilille. Monivaiheinen tunnistautuminen hankaloittaa hyökkääjän toimia merkittävästi, kuten aiemmin tässä viikkokatsauksessa kerroimme. Tilimurtojen vähentämiseksi, organisaatioiden tulisi ottaa monivaiheinen tunnistautuminen käyttöön kaikkialla, missä se vain on mahdollista.
Huijarit yrittävät keksiä uusia keinoja M365-tunnusten kalastelemiseksi jatkuvasti, joten organisaatoiden tulee aktiivisesti ohjeistaa henkilöstöään omien tunnusten oikeaoppisesta säilytyksestä ja käytöstä. Kyberturvallisuuskeskus suosittelee käyttämään erillistä salasanojen hallintasovellusta ja monivaiheista tunnistautumista myös työn ulkopuolisissa palveluissa. On myös tärkeää käyttää erilaista uniikkia salasanaa eri palveluissa; mikäli yhdet tunnukset vuotavat - ovat muut turvassa.
Vinkkejä hyvän salasanan luomiseen löydät sivuiltamme täältä (Ulkoinen linkki) (linkki Kyberturvallisuuskeskuksen sivuille) ja lisätietoa turvallisista tunnistautumiskäytännöistä täältä (Ulkoinen linkki) (linkki Kyberturvallisuuskeskuksen sivuille). [2] [3]
Mikäli joudut tai joudutte tietomurron uhriksi, voitte ilmoittaa asiasta (Ulkoinen linkki) (linkki Kyberturvallisuuskeskuksen sivuille) luottamuksellisesti Kyberturvallisuuskeskukselle. [4] Otamme vastaan myös näytteitä kalasteluviesteistä ja olemme tarvittaessa yhteydessä tahoon, jonka murretuilla tunnuksilla kalasteluviestejä lähetetään.
[1] https://yle.fi/uutiset/3-12634392 (Ulkoinen linkki)
[2] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/pidempi-parempi-nain-teet-hyvan-salasanan (Ulkoinen linkki)
[3] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/ohjeet-ja-oppaat/salasanat-haltuun (Ulkoinen linkki)
[4] https://www.kyberturvallisuuskeskus.fi/fi/ilmoita (Ulkoinen linkki)
Haittaohjelmien levitystä sähköpostitse
Sähköpostin liitteenä levitettäviä haittaohjelmia on raportoitu aktiivisesti Kyberturvallisuuskeskukselle. Joissain tapauksissa haitallinen liitetiedosto pääsee suojausmekanismien läpi sähköpostiin, jossa se odottaa käyttäjää avaamaan tiedoston. Haittaohjelmajakelua tapahtui viikolla myös Sharepoint-linkkien avulla. Käyttäjää saatetaan huijata avaamaan liitetiedostoa esimerkiksi luomalla kiireen tunne vastaanottajalle. Viestit saattavat viitata vaikkapa allekirjoitettavaan asiakirjaan tai maksettavaan laskuun.
Haittaohjelmat tavoittelevat pääsyä sähköpostilaatikkoon eri tiedostomuodoin, esimerkiksi .zip, .html, .pdf ja eri Office-tuotteiden tiedostopäättein. Käyttäjien tulee olla tarkkana mistä osoitteesta liitetiedoston sisältävät sähköpostit saapuvat. Olemme kuitenkin vastaanottaneet ilmoituksia, joissa haittaohjelmaa on levitetty myös luotetun sähköpostiosoitteen avulla. Tällöin tunnetun lähettäjän sähköpostitili on murrettu ja sitä käytetään haittaohjelman levityksessä. Tarvittaessa tulee tarkistaa vastaanotettu viesti organisaation tietoturvasta vastaavilta tahoilta, jotta ei tule klikattua auki liitettä, jonka sisältö on haitallinen.
Joskus liitetiedostot voivat sisältää edistyksellisempiä haittaohjelmia, jotka mahdollistavat hyökkääjille pääsyn tietokoneelle. Tällöin tallennetut tiedot ovat vaarantuneet, mutta hyökkääjä voi tavoitella jo saavutetun pääsyn avulla lisää jalansijaa organisaation verkossa. On ensisijaisen tärkeää ilmoittaa havaitusta tietoturvapoikkeamasta mahdollisimman nopeasti, jotta asiaan ehditään reagoida. Tällaisissa tapauksissa työasema tulisi pyrkiä eristämään verkosta ja tarkistamaan lokeista, mitä pääsi tapahtumaan ja onko havaittavissa myös muuta liikehdintää organisaation verkossa.
Olemme kirjoittaneet tunkeutumisen laajentamisesta artikkelit, joista voit lukea aiheesta lisää (Ulkoinen linkki) ja vielä lisää (Ulkoinen linkki) (linkit Kyberturvallisuuskeskuksen sivuille). [1] [2]
[1] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tunnetko-tunkeutumisen-laajentamisen-osa-1 (Ulkoinen linkki)
[2] https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/tunnetko-tunkeutumisen-laajentamisen-osa-2 (Ulkoinen linkki)
TIETO22-harjoituksen kolmepäiväinen pelivaihe järjestettiin kuluneella viikolla
TIETO22-harjoitus on Suomen suurin yritysten ja viranomaisten yhteistoimintaharjoitus laajojen kyberhäiriöiden varalta. Yritysten jatkuvuudenhallintaa, varautumista ja kriisiviestintää kyberhäiriötilanteissa sparraava harjoituskokonaisuus kasvattaa useiden toimialojen yritysten resilienssiä kyberhyökkäysten varalta. [1]
Harjoitukseen osallistui yli sata organisaatiota
Mukana harjoituksessa olivat myös Ruotsin ja Viron edustajat.
– Erilaista on mittakaava. Meillä on ennätysmäärä osallistujia, organisaatioita ja toimialoja mukana. Meillä on myös kansainvälinen ulottuvuus, joka on pohjustusta yhteistyölle tulevina vuosina naapurivaltioiden kanssa, kertoo harjoituksen projektipäällikkö Antti Nyqvist [2].
Kyberturvallisuuskeskus osallistui harjoitukseen muiden viranomaisten kanssa.
[1] https://www.digipooli.fi/fi/tieto22 (Ulkoinen linkki)
[2] https://yle.fi/uutiset/3-12629560 (Ulkoinen linkki)
Toimintaohjeita kyberhyökkäystilanteista toipumiseen
Uudet ohjeemme antavat neuvoja tilanteessa, jossa kyberhyökkäys häiritsee organisaation toimintaa. Ohjeet neuvovat teknisellä tasolla miten hyökkäys pysäytetään, hyökkäyksen laajuus selvitetään, ympäristöt puhdistetaan ja palautuminen voidaan aloittaa. Ohjeita on laadittu viiteen eri tyyppiseen kyberhyökkäystilanteeseen. Kukin ohje keskittyy yhden hyökkäystyypin vaatimiin toimenpiteisiin ja sisältää neuvoja toimenpiteistä tilanteen selvityksen eri vaiheissa.
Toimintaohjeita on laadittu seuraavia tilanteita varten:
· Tietomurto
· Vuotaneet käyttäjätunnukset
· Palveluestohyökkäys
· Kiristyshaittaohjelma
· Toimitusketjuhyökkäys
Ohjeet on suunnattu organisaatioiden asiantuntijoille, joiden tehtävänä on suorittaa hyökkäyksen torjunta- ja palautumistoimet. Toimintaohjeiden tarkoituksena on toimia käsikirjana kriisitilanteessa. Akuuttien toimenpiteiden lisäksi niissä käsitellään myös varautumista sekä tilanteen jälkeen tehtävää jälkiselvitystä. Ohjeiden avulla voi myös helposti harjoitella toipumista häiriötilanteista.
Ohjeet löytyvät sivuiltamme osoitteesta: https://www.kyberturvallisuuskeskus.fi/fi/ajankohtaista/toimintaohjeita-kyberhyokkaystilanteista-toipumiseen (Ulkoinen linkki)
Viikon merkittävät haavoittuvuudet
Lisää yleistietoa haavoittuvuuksista ja käytetyistä termeistä löydät Tietoturva Nyt! -artikkelistamme Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio pähkinänkuoressa.
ISC BIND 9-nimipalvelinohjelmistoon julkaistiin päivityksiä, jotka korjasivat vakavia haavoittuvuuksia
Haavoittuvuuksia on mahdollista hyväksikäyttää verkon yli ja ne mahdollistavat esimerkiksi palvelunestotilan tai muistivuodon. [1]
[1] https://kb.isc.org/docs/aa-00913 (Ulkoinen linkki)
Adobe julkaisi useaan tuotteeseen tietoturvapäivityksiä
Haavoittuvuudet mahdollistivat esimerkiksi mielivaltaisen ohjelmakoodin suorittamisen Adobe Photoshop 2021 ja 2022 -tuotteiden tiettyihin versioihin.[1][2]
[1] https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/adobe-releases-security-updates-multiple-products (Ulkoinen linkki)
[2] https://helpx.adobe.com/security.html (Ulkoinen linkki)
Lenovon BIOS-päivitys korjasi tietoturvahaavoittuvuuksia sadoista malleista
Haavoittuvuuksia hyväksikäyttämällä pystyttiin aiheuttamaan tietovuoto, käyttöoikeuksien korottaminen, palvelunestotila tai joissain tapauksissa jopa mielivaltaisen ohjelmakoodin suorittaminen. Lenovon BIOS-päivitykset on syytä asentaa viipymättä.
[1] https://support.lenovo.com/us/en/product_security/LEN-94953 (Ulkoinen linkki)
[2] https://www.bleepingcomputer.com/news/security/new-lenovo-bios-updates-fix-security-bugs-in-hundreds-of-models/ (Ulkoinen linkki)
VIIKON 38/2022 KYBERTURVALLISUUSKESKUKSEN JULKAISUT
Tilaa Kyberturvallisuuskeskuksen uutiskirjeet , tai RSS-syötteet , jotta saat tiedot heti kun ne julkaistaan.