Kyberturvallisuuskeskuksen viikkokatsaus - 50/2024

Tunnista uusi haittaohjelmien levitystapa ja suojaudu

Viikolla 40 kerroimme Lumma Stealer -haittaohjelmasta (Ulkoinen linkki), joka voi varastaa laitteellesi tallennettuja salasanoja, evästeitä, kryptovaluuttoja ja muita arkaluonteisia tietoja useista verkkoselaimista ja sähköpostiohjelmista. Traficomin Kyberturvallisuuskeskukselle on ilmoitettu lisää havaintoja, joissa käyttäjiä houkutellaan ajamaan verkkosivulta kopioitu teksti Windowsin komentokehotteeseen haittaohjelman asentamiseksi. Tätä menetelmää kuvataan nimellä "ClickFix (Ulkoinen linkki)" ja sen avulla levitetään tällä hetkellä useita haittaohjelmia.

Jos epäilet laitteesi saastuneen haittaohjelmalla, seuraa näitä ohjeita:

• Tarkista järjestelmäsi virustorjuntaohjelmistolla ja toimi sen antamien ohjeiden mukaisesti.
• Vaihda salasanasi. Päivitä kaikkien käyttäjätilien salasanat, joita käytät saastuneella tietokoneella. Tämä auttaa estämään luvattoman pääsyn tileillesi.
• Kirjaudu ulos kaikista aktiivisista verkkopalveluista (sosiaalinen media, sähköposti) tartunnan saaneella laitteella estääksesi luvattoman pääsyn tietoihisi.
• Aina kun mahdollista, ota monivaiheinen tunnistautuminen käyttöön lisäsuojaksi käyttäjätileillesi.
• Pidä käyttöjärjestelmäsi sekä muiden laitteellasi olevien ohjelmien päivitykset ajan tasalla.

Organisaatioille suositellaan turvatoimenpiteiden lisäämistä työasemiin, kuten PowerShellin ja komentorivin käytön estämistä peruskäyttäjätunnuksella. Tämä auttaa vähentämään haittaohjelmien asentamisen riskiä ja suojaamaan organisaation tietoja.

Inhimillinen virhe voi johtaa tietovuotoon

Kyberturvallisuuskeskukselle tulee säännöllisesti ilmoituksia erilaisista tietovuodoista. Tietovuodot voidaan jakaa karkeasti kahteen: teknisten ja henkilötietojen vuotamiseen sekä dokumenttien vuotamiseen. Ensimmäisessä tapauksessa taustalla on monesti tietomurto tai tiedonkaavinta ohjelmistorobotiikalla, jonka seurauksena saatuja tietoja on vuodettu tai laitettu myyntiin. Nämä tiedot ovat yleisimmin esimerkiksi nimiä, sähköpostiosoitteita ja pankkitietoja.

Toinen harvemmin esiin noussut tietovuotojen tyyppi on erilaiset dokumenttivuodot. Usein näiden taustalla on inhimillinen virhe. Joko käytössä olevia järjestelmiä ei ole määritelty oikein tai on oletettu, että linkki ja sen takana oleva tiedosto on vain sähköpostin vastaanottajan katsottavissa.

Keskitymme tässä tähän jälkimmäiseen tietovuotojen osaan. Moni organisaation tieto on ja sen tuleekin olla julkista. Henkilöstön ja sidosryhmien on tärkeä päästä käsiksi erilaisiin varautumiseen, turvallisuuteen ja perehdytykseen liittyviin dokumentteihin. Näissä on kuitenkin syytä pohtia aina tapa, jolla tietoa jaetaan sitä tarvitseville. Vaikka tieto olisikin julkista, onko dokumenttien silti tarkoituksenmukaista olla internetissä helposti kaikkien saatavilla? Verkkosivustoratkaisuissa organisaatio saattaa katsoa vain, että sivuston varsinainen etusivu pyytää kirjautumista, mutta jos henkilö tietää suoran linkin dokumenttiin, muodostuu suora ja rajoittamaton pääsy tietoon.

Esimerkki: https://turvallisuus.lumivarasto[.]fi antaisi oikein näkyviin vain kirjautumissivun, mutta https://turvallisuus.lumivarasto[.]fi/kaakkois-suomi antaisikin suoran näkymän kyseiseen sivuun.

Toinen yleinen riski on sähköpostilla jaettavat suorat linkit eri pilvipalveluissa oleviin dokumentteihin. Osa pilvipalveluista mahdollistaa pääsyn jaettuun tietoon kaikille, kenellä on tiedossa kyseinen linkki. Organisaatioiden onkin syytä tarkastella myös omista pilviympäristöistä tehtäviä dokumentti- ja resurssijakoja. Pahimmillaan näiden kautta voi vuotaa erittäinkin arkaluonteisia tietoja. Oletuksena olisikin hyvä, että ympäristöistä ei olisi mahdollista tehdä suoraan jakoja ilman erillisiä turvakontrolleja kuten jaon sitomista vastaanottajan sähköpostiosoitteeseen, tai ilman muita tunnistautumismekanismeja tai erilaisia salausratkaisuita.

Marraskuun kybersää 2024

Marraskuu osoitti varautumisen tärkeyden, kun Suomea kohtasi kaksi hyvin erilaista digitalisoituneen yhteiskunnan poikkeamaa – Suomen ja Saksan välinen merikaapeli katkesi, ja Jari-myrsky saapui Suomeen aiheuttaen paikallisia häiriöitä tietoliikenneyhteyksiin.

Vuoden harmaimmaksi luonnehdittua kuukautta ovat lisäksi sävyttäneet eri pankkien nimissä tehdyt huijaus- ja kalastelukampanjat. Palvelunestohyökkäysten osalta tilanne on rauhoittunut loppuvuodesta ja ilmoituksia hyökkäysten aiheuttamista häiriöistä vastaanotettiin marraskuussa alkusyksyä vähemmän.

Kulunut kuukausi toi mukanaan myös valonpilkahduksia kyberturvallisuuden edistämisessä. Marraskuussa julkaistu EU:n kyberkestävyyssäädös (Cyber Resilience Act, CRA) määrittelee EU:ssa vähimmäisvaatimukset internetiin kytkettävien digitaalisten tuotteiden ja ohjelmistojen kyberturvallisuudelle. Säädöksen arvioidaan parantavan yhteiskunnan kokonaisturvallisuutta, kun käytössä ja markkinoilla on aikaisempaa tietoturvallisempia laitteita. Säädös tulee voimaan vaiheittain vuosien 2026-2027 aikana.

Enisa julkaisi raportin Cyber Europe 24 -harjoituksesta

Euroopan Unionin kyberturvallisuusvirasto Enisa on julkaissut kesällä järjestämänsä Euroopan laajuisen kyberharjoituksen loppuraportin. Harjoitukseen osallistui noin 5000 henkilöä ympäri Eurooppaa. Suomesta mukana oli noin 50 henkilöä (Ulkoinen linkki). Kyberturvallisuuskeskus vastasi harjoituksen kansallisesta suunnittelusta ja toimeenpanosta.

Ajankohtaiset huijaukset

Tässä koosteessa kerromme kuluneen viikon aikana Kyberturvallisuuskeskukselle ilmoitetuista ajankohtaisista huijauksista.

Haavoittuvuudet

CVE: CVE-2024-11639, CVE-2024-11772 ja CVE-2024-11773
CVSS: 10, 9.1 ja 9.1
Mikä: Kriittisiä haavoittuvuuksia Ivanti Cloud Services (CSA) -tuotteissa
Tuote: Ivanti Cloud Services (CSA)
Korjaus: Korjaava päivitys, lisätiedot haavatiedotteessa