Kiristyshaittaohjelma on ohjelma, joka estää laitteen normaalin käytön ja esittää vaatimuksen lunnaiden maksamisesta rikollisille. Haittaohjelmatyypistä käytetään myös nimitystä lunnastroijalainen.
Tässä artikkelissa kerromme, miten kiristyshaittaohjelmat toimivat ja miten niiltä voi suojautua. Artikkeli on kirjoitettu etupäässä yksityishenkilöiden ja pienten organisaatioiden näkökulmasta, mutta valotamme myös sitä miten uhka näyttäytyy suuremmille organisaatioille.
Kiristyshaittaohjelma (engl. ransomware) tyypillisesti salaa laitteella olevat tiedostot salausalgoritmilla ja avaimella, joka on vain hyökkääjän tiedossa. Vielä 2010-luvun alkupuolella kiristyshaittaohjelma tavallisesti vain lukitsi laitteen näytön niin, ettei laitteen normaali käyttäminen ollut mahdollista, muttei koskenut laitteella oleviin tiedostoihin. Sellaisiakin kiristyshaittaohjelmia esiintyy edelleen, mutta tietoja salaavat lunnastroijalaiset ovat nykyään selvästi yleisempiä.
Tiedostojen salauksen tai näytön lukitsemisen jälkeen haittaohjelma jättää uhrille yleensä viestin, jossa rikollinen kertoo palauttavansa laitteen omistajansa käyttöön lunnasmaksua vastaan. Lunnaita vaaditaan maksettavaksi usein kryptovaluutassa, mikä tekee maksun jäljittämisestä vaikeampaa kuin perinteisillä valuutoilla tehtyjen maksujen.
Rikolliset levittävät kiristyshaittaohjelmia sekä satunnaisiin kohteisiin – esimerkiksi roskapostin välityksellä – että kohdennettujen tietomurtojen avulla. Yksityishenkilöille ja pienille organisaatioille olennainen uhka ovat satunnaisesti suurelle vastaanottajajoukolle levitettävät haittaohjelmat. Tällaisessa hyökkäyksessä rikolliset eivät aktiivisesti edistä hyökkäystä, vaan luottavat siihen, että joku lataa erehdyksessä haittaohjelman laitteelleen tai että haittaohjelmaan ohjelmoitu automatiikka löytää haavoittuvan laitteen.
Tyypillisimpiä levityskeinoja ovat roskapostissa olevat linkit ja liitetiedostot, väärennetyt ladattavat tiedostot kuten maksullisten ohjelmistojen piraattikopiot, sekä tunnettujen ohjelmistohaavoittuvuuksien hyväksikäyttö. Esimerkiksi toukokuussa 2017 maailmanlaajuisesti vaikuttanut WannaCry-kiristyshaittaohjelma hyödynsi useissa laitteissa korjaamatta ollutta Windowsin EternalBlue-nimistä haavoittuvuutta, salaten yli 200 000 laitetta 150 maassa.
Kohdennetut tietomurrot ovat keskisuurten ja suurten organisaatioiden murhe, sillä kohdennetun tietomurron yrittäminen edellyttää rikollisilta merkittävää vaivannäköä, eivätkä rikolliset voi odottaa saavansa vaivaan nähden riittävän suurta rikoshyötyä pieniltä organisaatioilta. Toimintatapaa, jossa rikolliset valikoivat kohteikseen erityisen maksukykyisiä yrityksiä, on kutsuttu termillä “big game hunting” eli suurriistan metsästys. Rikollisia on kuitenkin moneen lähtöön ja osa on erikoistunut tekemään helposti toistettavia tietomurtoja ja kiristyshaittaohjelmahyökkäyksiä myös pienten organisaatioiden tietojärjestelmiin. Kohdennetuista tietomurroista voit lukea lisää artikkelistamme “Edistyneet kiristyshyökkäykset yleistyvät – Varo joutumasta saaliiksi!
Kiristyshaittaohjelmahyökkäyksen voi havaita esimerkiksi kiristysviestin, tietoturvatuotteen hälytyksen tai sen myötä, että pääsy tiedostoihin estyy. Tyypillisesti haittaohjelma muuttaa tiedostojen päätteet kyseiselle haittaohjelmalle ominaiseen muotoon: esimerkiksi kaikkien .docx- ja .xlsx-päätteisten tiedostojen pääte muuttuu päätteeksi .akira). Täältä voit tutustua tunnettuihin kiristyshaittaohjelmien tiedostopäätteisiin. (Ulkoinen linkki) Hyökkäyksen kohteeksi joutunut tietojärjestelmä saattaa yksinkertaisesti lakata toimimasta ilman näkyvää tai tunnistettavaa syytä.
Tärkeimmät onnistuneen hyökkäyksen seuraukset liittyvät siihen, että käyttäjät eivät pääse enää käsiksi tartunnan saaneessa laitteessa oleviin tietoihin. Jos tiedoista ei ole varmuuskopiota, saattavat tiedot olla lopullisesti mennyttä. Yksityishenkilöille tietojen menettäminen ei yleensä tarkoita taloudellisia menetyksiä, mutta esimerkiksi perheen digitaalisen kuva-albumin tuhoutumisen tunnearvo voi olla valtava.
Yrityksille kiristyshaittaohjelmahyökkäyksen taloudelliset vaikutukset voivat olla merkittävät. Yritys voi menettää suuria summia rahaa liiketoiminnan keskeytyessä ja korjaustoimenpiteissä. Jo pelkästään satunnaisesti levitettävän haittaohjelman tarttuminen voi aiheuttaa merkittävän katkoksen yrityksen toimintaan, sillä tilanteen alkuvaiheessa on harvoin selvää, miten laajasta ongelmasta on kyse, kun yhdessä laitteessa havaitaan kiristyshaittaohjelma.
Osa yrityksistä maksaa huomattavia lunnassummia tietojen palauttamiseksi. Myös mainehaitat ovat merkittäviä, sillä asiakkaiden luottamus voi horjua tietoturvaongelmien vuoksi.
Kiristyshaittaohjelman kohdistuessa esimerkiksi terveydenhuollon, energiasektorin ja julkisen hallinnon järjestelmiin se vaikuttaa laajemmin yhteiskuntaan ja voi vaarantaa elintärkeitä palveluita. Esimerkiksi Iso-Britanniassa kiristyshaittaohjelma vaikutti alkukesästä 2024 usean lontoolaisen sairaalan ja terveysaseman toimintaan. Kiristyshaittaohjelman aiheuttamat häiriöt saivat aikaan leikkausten ja verensiirtojen perumisia suurissa sairaaloissa, sekä päivystyspotilaiden ohjaamista muihin sairaaloihin. Hyökkäys vaikutti myös potilaiden testitulosten saatavuuteen.
Kuten muihinkin tietoturvauhkiin, myös kiristyshaittaohjelmiin on hyvä varautua etukäteen. Kiristyshaittaohjelma voi lukita tai tuhota tärkeitä henkilökohtaisia tietoja, kuten valokuvia. Ennakointi, kuten säännölliset varmuuskopiot, vahvat salasanat ja ohjelmistojen päivittäminen, auttavat suojaamaan tietoja. Lisäksi varautuminen vähentää riskiä joutua rikollisten uhriksi ja lisää kykyä palauttaa normaalitilanne nopeasti, jos hyökkäys tapahtuu. Seuraavat ohjeet on suunnattu erityisesti yksityishenkilöille, organisaatioiden suojauskeinoja on listattu Edistyneet kiristyshyökkäykset yleistyvät – Varo joutumasta saaliiksi! -artikkelin yhteyteen.
Tee varmuuskopiot tärkeistä tiedostoista ja säilytä niitä turvallisesti erillisellä laitteella tai pilvipalvelussa, johon haittaohjelmat eivät pääse käsiksi. Suositeltavaa on pitää osa varmuuskopioista täysin offline-tilassa, esimerkiksi ulkoisella kovalevyllä, joka ei ole jatkuvasti yhteydessä laitteeseen.
Varmista, että käyttöjärjestelmä ja kaikki käytössä olevat ohjelmistot ovat ajan tasalla. Monet kiristyshaittaohjelmat hyödyntävät vanhoja ohjelmistoversioita, joissa on tunnettuja haavoittuvuuksia. Ota käyttöön automaattiset päivitykset, mikäli mahdollista, jotta tietoturvapäivitykset asentuvat heti niiden ilmestyttyä.
Varmista, että käytössä on ajan tasalla oleva virustorjuntaohjelmisto, joka sisältää myös kiristyshaittaohjelmilta suojautumiseen tarkoitetut ominaisuudet. Suorita säännöllisesti koko järjestelmän tarkistuksia mahdollisten haittaohjelmien löytämiseksi.
Ole varovainen sähköpostiliitteiden ja linkkien kanssa, erityisesti, jos ne tulevat tuntemattomilta lähettäjiltä. Monet kiristyshaittaohjelmat leviävät juuri sähköpostien kautta. Älä klikkaa linkkejä tai anna henkilökohtaisia tietoja, ellet ole täysin varma viestin aitoudesta.
Monet kiristyshaittaohjelmat leviävät hyödyntämällä heikkoja tai helposti arvattavia salasanoja. Luo vahvat ja yksilölliset salasanat, jotka sisältävät kirjaimia, numeroita ja erikoismerkkejä. Ota käyttöön MFA, jolloin sisäänkirjautuminen edellyttää jotain sinulle henkilökohtaista, kuten puhelimeesi tulevaa vahvistuskoodia.
Hanki sovellukset ainoastaan virallisista sovelluskaupoista. Nämä kaupat suodattavat usein haitallisia sovelluksia ja tarjoavat paremman tietoturvan. Tästä huolimatta kaikissa sovelluskaupoissa tulee käyttää harkintaa, sillä kaikkia haitallisia sovelluksia ei usein saada suodatettua pois, eli riski haitallisen sovelluksen asentamisesta on silti olemassa.
Kiristyshaittaohjelmatoimijoiden vaatimia lunnaita ei tulisi maksaa. Lunnaiden maksaminen edistää rikollisen toiminnan jatkumista, eikä tietojen palautumisesta tai kiristyksen päättymisestä ole mitään takeita. Hyökkääjän tavoitteena voi olla myös pelkkä tietojen tuhoaminen, jolloin kiristys on vain hämäystä. Tällöin dataa ei ole mahdollista palauttaa edes lunnaita maksamalla. Esimerkiksi kesäkuussa 2017 levinnyt NotPetya oli naamioitu kiristyshaittaohjelmaksi, mutta sen todellinen tarkoitus oli aiheuttaa mahdollisimman paljon vahinkoa ja hävittää tietoja. Salaus, jota NotPetya käytti, oli suunniteltu siten, että tiedostojen palauttaminen oli käytännössä mahdotonta, vaikka lunnaat maksaisi, koska tarvittavat avaimet eivät olleet tallessa edes hyökkääjillä.
Jos havaitset kiristyshaittaohjelmaan viittaavaa toimintaa, on tärkeää toimia nopeasti, kuten eristämällä saastunut järjestelmä verkosta ja hakemalla tarvittaessa asiantuntija-apua, jotta vahinkoja voidaan minimoida.
Seuraavissa ohjeissa on listattu neuvoja organisaatioille tilanteissa, joissa epäillään kiristyshaittaohjelman aiheuttamaa hyökkäystä tai kiristyshaittaohjelma estää normaalin toiminnan.
Muista, että organisaation tulee tarvittaessa tehdä myös NIS-ilmoitus sekä ilmoitus tietosuojavaltuutetulle. Muista tehdä myös rikosilmoitus poliisille ja ilmoittaa asiasta Kyberturvallisuuskeskukselle.
