Kyberturvallisuuskeskuksen viikkokatsaus - 39/2024

Tällä viikolla katsauksessa käsiteltäviä asioita

• Palvelunestohyökkäyksien kehnontunut syyssää
• Kiristysviestien uhkaava sävy lisääntyy
• Akira ja Lockbit kiristyshaittaohjelmat valokeilassa

Palvelunestohyökkäyksien kehnontunut syyssää

Kyberturvallisuuskeskukselle on ilmoitettu kuluneen viikon aikana aiempaakin aktiivisemmin palvelunestohyökkäyksistä. Nordea kertoi (Ulkoinen linkki) lähiaikojen häiriöidensä johtuneen osittain palvelunestohyökkäyksistä. Toistaiseksi vaikutukset ovat muissa tapauksissa jääneet vähäisiksi.

Kirjoitimme viime viikolla viikkokatsauksessa (Ulkoinen linkki) syksyn palvelunestohyökkäystilanteesta ja carpet bombing -ilmiöstä, jota on havaittu myös tällä viikolla. Vaikka palvelunestohyökkäysten tilanne on aktivoitunut, ei tavallisella kansalaisella ole syytä huoleen. Palvelunestohyökkäyksiä suuntautuu kohti Suomea päivittäin ja osalla niistä on välillä vaikutuksia palveluiden saatavuuteen. Organisaatioiden tehtävä on suojautua hyökkäyksiltä. Palvelunestohyökkäysten vaikuttaessa palveluihin organisaatiot tarkastavat, mikä hyökkääjän käyttämä tapa pääsi suojausten ohitse. Tämän jälkeen oikeilla toimenpiteillä sama temppu ei enää onnistukaan.

Kiristysviestien uhkaava sävy lisääntyy

Niin sanotut pornokiristykset (Ulkoinen linkki) ja poliisihuijaukset ovat rikollisille varsin yleisiä niiden massamaisen levittämisen helppoudesta johtuen. Viestit eivät ole totta. Painostavalla ja uhkaavalla kielellä sekä erityisen herkillä aiheilla yritetään saada uhri hätääntymään ja maksamaan kiristäjän vaatimat lunnaat.

Nyt osa rikollisista on alkanut panostaa kiristysviesteihin enemmän. Suomessa ja maailmalla on nähty joitakin tapauksia, jossa kiristysviestiään tehostamaan rikolliset ovat lisänneet viestiin kuvan uhrin kotikadulta. Kuvat on haettu esimerkiksi Google Maps palvelusta. Kohteina olevien ihmisten yhteystiedot taas on voitu hankkia monta eri reittiä, kuten vanhoista tietovuodoista, tiedoilla kauppaa tekeviltä yrityksiltä tai sosiaalisesta mediasta keräämällä. Monien ihmisten yhteystiedot ovat saatavilla numeropalveluista.

Lisävaivalla rikolliset saattavat tehostaa kiristysviestiensä uskottavuutta. Vaikka oman kotiosoitteen ja kotitalon valokuvan näkeminen kiristysviestissä ymmärrettävästi säikäyttää, ovat ne vain katala keino pelotella uhri maksamaan vaaditut lunnaat.

Todennäköisesti edelleen suurin osa kiristysviesteistä tulee olemaan pienemmän vaivan massaviestejä. 

Akira ja Lockbit kiristyshaittaohjelmat valokeilassa

Julkaisimme Tietoturva Nyt! -artikkelin, jossa käsittelimme Akira ja Lockbit kiristyshaittaohjelmia . Kumpikin ovat globaalisti merkittäviä rikollisryhmittymiä ja näiden haittaohjelmien käyttö on korostunut Suomessa havaituissa kiristyshaittaohjelmahyökkäyksissä. Artikkelissa kerrotaan myös suojautumiskeinoja kiristyshaittaohjelmahyökkäyksiä vastaan, joista tärkeimmät ovat laitteiden ajantasaiset päivitykset ja monivaiheisen tunnistautumisen käyttöönotto kaikille käyttäjille.

Akiran on raportoitu hyväksikäyttävän tuorehkoa SonicWall SSL VPN -tuotteen haavoittuvuutta käyttäjätilien murtamiseen ja sisäänpääsyyn organisaation verkkoon. Haltuun saadut käyttäjätilit ovat olleet paikallisia eikä niille olla otettu käyttöön monivaiheista tunnistautumista. Julkaisimme haavoittuvuudesta tiedotteen (Ulkoinen linkki) syyskuun alkupuolella. Viimeistään nyt SonicWall SSL VPN -tuotteiden päivittämisellä on kiire! 

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Haavoittuvuudet

CVE: CVE-2024-42505, CVE-2024-42506, CVE-2024-42507
CVSS: 9.8
Mikä: HPE Aruba Networking Access Points haavoittuvuuksia
Tuote: HPE Aruba Networking Access Points
Korjaus: Päivitä tuotteet