Kyberturvallisuuskeskuksen viikkokatsaus - 40/2025

Tietoturva Nyt!

Julkaistu 03.10.2025 8:34

Tällä viikolla kerromme palvelunestohyökkäyksistä ja niiden vaikutuksista. Kerromme myös Bulletproof Hosting -ilmiöstä rikollisen toiminnan mahdollistajana. Esittelemme lyhyesti harjoitusta, jossa turvallisuusviranomaiset harjoittelivat valtiolliseen kybervaikuttamiseen vastaamista ja lisäksi kerromme Euroopan kyberturvallisuuskuukaudesta, jonka teemana on omien arjen tietoturvataitojen parantaminen. Tämän viikon haittaohjelmakatsauksessa esittelemme Lockyn.

Tällä viikolla katsauksessa käsiteltäviä asioita

Palvelunestohyökkäykset ovat arkea verkossa
Bulletproof Hosting on merkittävä rikollisen toiminnan mahdollistaja
Turvallisuusviranomaiset harjoittelivat valtiolliseen kybervaikuttamiseen vastaamista
Omien arjen tietoturvataitojen parantaminen Euroopan kyberturvallisuuskuukauden teemana
Viikon haittaohjelmakatsaus: Locky

Palvelunestohyökkäykset ovat arkea verkossa

Palvelunestohyökkäys (Denial of Service ja Distributed Denial of Service) on yleinen kyberhyökkäysten muoto ja sen seuraukset näkyvät nopeasti käyttäjille: verkkosivut voivat hidastua tai kaatua kokonaan hankaloittaen näin käyttäjän arkea. Hyökkäyksen taustalla on usein bottiverkko, joka lähettää suuria resursseja vaativia pyyntöjä tai kasvattaa liikennettä kohteeseen niin, että normaali toiminta häiriintyy. Vaikka hyökkäykset eivät johda tietovuotoihin, ne voivat aiheuttaa taloudellisia tappioita tai mainehaittaa palvelun ylläpitäjälle.

Palvelunestohyökkäyksiä hyödynnetään esimerkiksi haktivismissa kyberkyvykkyyden voimannäyttönä ja viestinä kansainväliselle yleisölle. Hyökkäysten näkyvyys tekee niistä tehokkaita välineitä vaikuttamiselle. Toisaalta hyökkäyksellä voidaan tavoitella taloudellista hyötyä kiristämällä rahaa hyökkäyksen lopettamiseksi.

Suomessa laajamittaiset ja pitkittyneet häiriöt ovat harvinaisia, sillä organisaatiot panostavat vahvasti palveluiden suojaamiseen. Hyökkääjien keinot kuitenkin kehittyvät jatkuvasti ja siksi suojauskäytänteitä on syytä tarkastella säännöllisesti. Keskeistä on poikkeaminen harjoittelu, järjestelmien päivitykset, valvonta ja avoin viestintä. Kun toimintamallit on suunniteltu ja testattu etukäteen, hyökkäyksen vaikutuksia voidaan minimoida ja palautuminen nopeuttaa.

Yksittäinen käyttäjäkin voi vaikuttaa tilanteeseen. Pitämällä laitteet ajan tasalla, vaihtamalla oletussalasanat ja käyttämällä vahvoja tunnuksia voi ehkäistä oman laitteen päätymisen osaksi bottiverkkoa. Näin jokainen voi osaltaan vähentää palvelunestohyökkäysten voimaa.

Palvelunestohyökkäykset kuuluvat internetin arkeen, mutta oikeilla varautumiskeinoilla niiden vaikutukset voidaan hallita.

Julkaisimme asiasta Tietoturva Nyt! -artikkelin: Ennakointi on paras puolustus palvelunestohyökkäyksiä vastaan

infografiikka kuvaa, kuinka riollinen ohjaa bottiverkkoonsa kuuluvia ympäri maailman sijaitsevia kaapattuja laitteita ottamaan yhteyttä koheena olevaan sivustoon tai palveluun. Massiiviset määrät verkkoliikennettä ruuhkauttavat kohdesivuston, ja käyttäjä ei hetkeen pääse käyttämään palvelua.

Bulletproof Hosting on merkittävä rikollisen toiminnan mahdollistaja

Bulletproof Hosting (BPH) termillä viitataan toimijoihin, jotka tarjoavat rikollisille tai muille haitallisille toimijoille verkkopalveluita, joihin puuttuminen viranomaistoimin on haastavaa. Tällaiset palveluntarjoajat eivät aktiivisesti puutu käyttäjien rikolliseen toimintaan, kuten haittaohjelmien levitykseen, roskapostin lähettämiseen tai huijaussivustojen ylläpitoon.

Palveluntarjoajat toimivat usein alueilla, joilla lainvalvontaviranomaisilla voi olla vähemmän kiinnostusta tai vain vähän resursseja tutkia ilmiöön liittyvää toimintaa. Lisäksi BPH-palveluntarjoajat käyttävät erilaisia monimutkaisia teknisiä järjestelyjä vaikeuttaakseen poisto- ja väärinkäyttöpyyntöjen toteutusta.

Rikollinen toiminta bulletproof hosting -palveluiden avulla on vaikeutunut, koska viranomaisten ja yksityisen sektorin maailmanlaajuinen yhteistyö pyrkii puuttumaan siihen jatkuvasti. Palvelujen alasajot aiheuttavat rikollisille kustannuksia, koska he joutuvat pystyttämään uutta infrastruktuuria paljastuneen tai poistuneen tilalle.

Kyberturvallisuuskeskuksessa kehitetään tällä hetkellä esimerkiksi haitalliseen verkkoliikenteeseen ja -toimintaan liittyvää sulkupyyntöprosessia. Tavoitteena on kyetä vastaamaan BPH-toimintaan muun muassa alasottamalla entistä tehokkaammin haitallisia FI-verkkotunnuksia sekä tarjoamalla suodatussuosituksia verkkopalveluntarjoajille

Tietoisuuden lisääminen BPH-toiminnasta on tärkeää palveluntarjojien lisäksi myös alustoja käyttäville yrityksille. Osa palveluntajoajista pyrkii toimimaan harmaalla alueella ja houkuttelemaan asiakkaikseen myös tavallisia yrityksiä. Niiden asiakkaat saattavat tulla rahoittaneeksi rikollista toimintaa, ja palveluntarjoajan päätyminen pakotteiden tai alasajon kohteeksi on yritykselle merkittävä liiketoimintariski.

Julkaisimme asiasta Tietoturva Nyt! -artikkelin: Bulletproof Hosting – Merkittävä rikollisen toiminnan mahdollistaja

Turvallisuusviranomaiset harjoittelivat valtiolliseen kybervaikuttamiseen vastaamista

Lähes 200 asiantuntijaa eri turvallisuuusviranomaisista osallistui Jyväskylän ammattikorkeakoulussa järjestettyyn kansalliseen KYHA-kyberturvallisuusharjoitukseen 22.-26.9.2025. Harjoituksen teemana oli tänä vuonna valtiolliseen kybervaikuttamiseen vastaaminen. Harjoituksessa pääpainona oli kehittää viranomaisten valmiuksia varautua ja vastata suuret resurssit omaavien toimijoiden hyökkäyksiin.

Kyberturvallisuuskeskus harjoittelee omaa toimintaansa osallistumalla kansallisiin kyberharjoituksiin vuosittain. Kyberturvallisuuskeskus tukee samalla muiden organisaatioiden harjoittelua ottamalla vastaan ilmoituksia tietoturvaloukkauksista, auttamalla niiden selvittämisessä sekä jakamalla uhkatietoa ja tilannekuvaa eri toimijoille.

Globaalin turvallisuustilanteen myötä kyberharjoittelu on entistä tärkeämpää. Jatkuva harjoittelu ylläpitää osaamista ja osaltaan myös yhteiskunnan kyberturvallisuuden korkeaa tasoa sekä kehittää organisaatioiden ja yhteiskunnan kykyä toipua vakavista häiriötilanteista. Harjoittelu mahdollistaa organisaatioille prosessien ja toimintamallien testaamisen. Tärkeässä roolissa on myös kriisiviestinnän valmiuksien harjoittelu.

"On tärkeä ymmärtää, että myös teknis-toiminnallisessa harjoituksessa keskiössä ovat ihmiset. Asioita saadaan usein eteenpäin ihan vain sillä, että istutaan yhdessä alas ja keskustellaan avoimesti ja luottamuksellisesti hyvässä hengessä. Ikään kuin tehtäisiin yhdessä palapeliä, ja jokaisella organisaatiolla on osa paloista. Jos joku ei tuo palojaan pöydälle, kuva jää vaillinaiseksi kaikilta." toteaa Kyberturvallisuuskeskuksen erityisasiantuntija Otso Manninen.

Kansalliset kyberharjoitukset järjestää Jamkin IT-instituutissa sijaitseva JYVSECTEC (Jyväskylä Security Technology) tutkimus-, kehitys- ja koulutuskeskus yhteistyössä liikenne- ja viestintäministeriön kanssa. Myös Turvallisuuskomitea osallistuu harjoitusten toteuttamiseen ohjaavalla roolilla.

erityisasiantuntija Otso Mannisen kuva ja sitaatti: "On tärkeä ymmärtää, että myös teknis-toiminnallisessa harjoituksessa keskiössä ovat ihmiset. Asioita saadaan usein eteenpäin ihan vain sillä, että istutaan yhdessä alas ja keskustellaan avoimesti ja luottamuksellisesti hyvässä hengessä. Ikään kuin tehtäisiin yhdessä palapeliä, ja jokaisella organisaatiolla on osa paloista. Jos joku ei tuo palojaan pöydälle, kuva jää vaillinaiseksi kaikilta.

Turvallisuusviranomaisten kyberharjoitus vahvisti valmiuksia valtiollista kybervaikuttamista vastaan (Ulkoinen linkki)

Kyberturvallisuuskeskuksen harjoitustoiminnan sivut

Omien arjen tietoturvataitojen parantaminen Euroopan kyberturvallisuuskuukauden teemana

Lokakuussa vietetään Euroopan kyberturvallisuuskuukautta (ECSM) jo 13. kertaa. Kampanjan tavoitteena on lisätä kansalaisten ja organisaatioiden tietoisuutta kyberturvallisuudesta, jakaa hyviä käytäntöjä sekä tarjota ajankohtaista tietoa turvallisesta verkon käytöstä. Tänä vuonna painopiste on arjen valinnoissa, joilla vaikutamme omaan ja muiden turvallisuuteen verkossa.

Kyberturvallisuus ei ole vain tekninen kysymys, vaan jokapäiväiset valinnat ja toimintatavat vaikuttavat siihen, kuinka turvallinen verkko on meille kaikille. Turvallisesta verkon käytöstä voidaan oppia eri tavoin, esimerkiksi pelaamalla tai verkkokurssien avulla. Traficomin Kyberturvallisuuskeskuksen koordinoima Some- ja verkkohuijausten ehkäisyn verkosto kampanjoi yhdessä turvallisemman verkkokokemuksen puolesta hyödyntäen Aalto-yliopiston toteuttamaa SecPort-sivustoa, joka tarjoaa käytännön vinkkejä ja oppimateriaaleja kansalaisten kyberturvataitojen vahvistamiseen.

Lue lisää Euroopan kyberturvallisuuskuudesta ja Aalto-yliopiston toteuttamasta SecPort-sivustosta Tietoturva Nyt! -artikkelistamme:

Viikon haittaohjelmakatsaus: Locky

Locky on vuonna 2016 laajasti levinnyt kiristyshaittaohjelma, joka salaa tartunnan saaneen tietokoneen tiedostot ja vaatii lunnaita niiden palauttamiseksi. Se levisi erityisesti sähköpostin liitetiedostoina, usein näennäisesti harmittomina laskuina tai asiakirjoina, jotka sisälsivät makroja. Kun käyttäjä avasi tiedoston ja salli makrojen suorittamisen, haittaohjelma aktivoitui, latasi varsinaisen salauskomponentin ja aloitti tiedostojen salaamisen.

Locky salasi laajasti erilaisia tiedostotyyppejä, mikä teki sen vaikutuksista vakavia niin yksityisille käyttäjille kuin organisaatioille. Salaus tehtiin vahvoilla algoritmeilla, eikä ilman lunnaita ollut realistista tapaa palauttaa tietoja. Locky käytti myös monimutkaisia tekniikoita havaintojen välttämiseksi ja vaihtoi tiedostojen päätteet, mikä vaikeutti tiedostojen tunnistamista.

Sen vaikutukset olivat laajamittaisia: monet yritykset ja sairaalat joutuivat maksamaan lunnaita tai menettivät arvokkaita tietojaan. Locky toimi suunnannäyttäjänä monille myöhemmille kiristyshaittaohjelmille ja sen toimintatavat ovat yhä käytössä uusissa uhissa.

Suojautumiskeinoja:

Älä avaa tuntemattomista lähteistä tulleita liitetiedostoja tai linkkejä.
Pidä käyttöjärjestelmä ja ohjelmistot ajan tasalla.
Käytä ajantasaista virustorjuntaohjelmaa ja palomuuria.
Tee säännölliset varmuuskopiot tärkeistä tiedostoista ja säilytä ne erillään verkosta.
Kouluta käyttäjiä tunnistamaan epäilyttävät sähköpostit ja liitteet.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Ota viipymättä yhteys pankkiisi, jos olet tehnyt huijauksen perusteella maksun, rikollinen on päässyt verkkopankkiisi tai saanut maksukorttitietosi käsiinsä.
Tee rikosilmoitus poliisille. Voit tehdä sähköisen rikosilmoituksen verkossa. (Ulkoinen linkki)
Voit ilmoittaa asiasta myös Kyberturvallisuuskeskukselle.
Ohjeet tietovuodon uhrille (Ulkoinen linkki)

Tutustu keinoihin tunnistaa ja suojautua nettihuijauksilta

Haavoittuvuudet

CVE: CVE-2025-20333
CVSS: 9.9
Mikä: Kriittinen haavoittuvuus, joka mahdollistaa mm. koodin suorittamisen etänä.
Tuote: Cisco Adaptive Security Appliance (ASA) Software ja Cisco Secure Firewall Threat Defense (FTD) -tuotteiden haavoittuvuus
Korjaus: Päivitä laite ja tutki se Ciscon ohjeiden mukaisesti

Kriittisiä Cisco ASA- ja FTD-haavoittuvuuksia käytetään hyväksi hyökkäyksissä

CVE: CVE-2025-20363
CVSS: 9
Mikä: Cisco on julkaissut korjauspäivitykset 14 vakavaan haavoittuvuuteen eri IOS-tuoteperheen tuotteissa.
Tuote: Cisco IOS ja IOS XE
Korjaus: Päivitä haavoittuvat tuotteet valmistajan ohjeiden mukaisesti

Haavoittuvuuksia Cisco IOS ja IOS XE -laitteissa

Yleistietoa haavoittuvuuksista ja käytetyistä termeistä löydät Tietoturva Nyt! -artikkelistamme Kyberturvallisuuskeskuksen haavoittuvuuskoordinaatio pähkinänkuoressa

Tämä on Kyberturvallisuuskeskuksen viikkokatsaus (raportointijakso xx.xx.-xx.xx.2025). Viikkokatsauksessa jaamme tietoa ajankohtaisista kyberilmiöistä. Viikkokatsaus on tarkoitettu laajalle yleisölle kyberturvallisuuden ammattilaisista tavallisiin kansalaisiin.