Netect.fi
  • Etusivu
  • Keita olemme
  • Sovelluskehitys
  • MS ratkaisut
  • Ulkoistuspalvelut
  • Tietoturva
  • Blogi
  • Ota yhteyttä
  • In English
    • Homepage
    • About us
    • Application development
    • MS solutions
    • Outsourcing services
    • Cyber Security
Blogi
Aiheina tietoturva, kybervakoilu, ransomware, etätyö, ohjelmistokehitys, ulkoistaminen jne.

Onko olemassa täydellistä tietoturvaa?

2/18/2021

 
BusinessWeek julkaisi 2018 artikkelin amerikkalaisen SuperMicro yhtiön palvelinemolevyiltä löytyneestä ylimääräisestä mikropiiristä. Artikkelissa kerrottiin, että yhtiön laajasti käytössä olleilta palvelinemolevyiltä oli löydetty vastuksen näköinen mikropiiri, josta oli tarkemmassa analyysissä löytynytkin enemmän kontakteja kuin normaalit kaksi. Kyseinen piiri mahdollisti yhteyden avaamisen ja tiedonsiirron suojatusta sisäverkosta ulos piirin asentaneille tahoille. BusinessWeek kertoi haastatelleensa artikkeliin kymmeniä henkilöitä, joiden kaikkien kertomukset tukivat tarinaa.
​
Virallisesti kukaan ei kuitenkaan halunnut sanoa mitään. Artikkelia tuki myös se, että kyseisiä emolevyjä datakeskuksissaan käyttäneet tahot (muun muassa Apple ja Amazon) hankkiutuivat niistä vähin äänin eroon, joko yritysjärjestelyiden kautta tai muutoin.
Todennäköisen implantin sijainti vuonna 2018 raportoidussa tietomurrossa. (Trammel Hudson)
Todennäköisen implantin sijainti vuonna 2018 raportoidussa tietomurrossa. (Trammell Hudson)
Bloomberg julkaisi 12.1. täydennyksen BusinessWeekin 2018 artikkeliin.

Uudessa artikkelissa kerrotaan, että USA:n puolustusministeriön tietoturvaorganisaatio oli huomannut jo vuonna 2010 Supermicron valmistamien serverien lähettävän tietoa verkkoinfrasta ulkopuoliselle taholle Kiinaan. Tästä käynnistyi vuosia kestänyt vastavakoilutoiminta, jolla pyrittiin selvittämään hyökkääjän kykyjä ja samalla alettiin analysoida, kuinka tietomurto on toteutettu.

Emolevyjen BIOS:in eprommin suojatusta osasta löytyi ylimääräistä koodia, joka konetta käynnistettäessä luettiin muistiin suoritettavaksi. SuperMicro oli ostanut merkittäviä osia BIOS koodista suoraan alihankkijalta, eikä todennäköisesti ollut tietoinen kaikista saamistaan ominaisuuksista.

Alkuperäisen BusinessWeekin artikkelin mukaan Apple ja Amazon löysivät ylimääräisen mikropiirin SuperMicron palvelinemolevyltä 2015. Kaikki artikkelissa mainitut yritykset kiistivät tuolloin tiedot ja kertoivat olevansa täysin tietämättömiä asiasta. Tarkemmissa tutkimuksissa selvisi, että piiri ei ole pelkästään emolevyjä alihankintana valmistaneen kiinalaisen sopimusvalmistajan tekosia, vaan sen paikka on jo alun perin suunniteltu osaksi monikerroksista piirilevyä. FBI:ltä saadun tiedon mukaan pientä joukkoa valmistajan työntekijöitä kohtaan käynnistettiin jo vuonna 2012 vastavakoilu ja seurantaoperaatio.

Lisäksi päivitetyssä artikkelissa kerrotaan että 2014 siruvalmistaja Intel tiedotti, että he olivat saaneet takaoven sisältävän päivityksen SuperMicron päivityspalvelimelta. Tällöin tietomurto havaittiin välittömästi ja sen seuraukset saatiin minimoitua.
Mitä tästä pitäisi ajatella

Jos kiinalaiset pystyvät tekemään tämän yhdelle amerikkalaisvalmistajalle, niin miksi he eivät pystyisi tekemään sitä muille? Kuinka paljon takaovilla varustettua tietotekniikkaa on maailmalla? Tähän kysymykseen ei varmasti osaa vastata kukaan, mutta todennäköisesti sitä on paljon enemmän kuin nämä pari tapausta, josta olemme kuulleet.

Jos tämä tapahtuu globaalia hankintaketjua hyödyntävälle amerikkalaiselle yritykselle heidän tietämättään, niin mitä voimme olettaa kiinalaisyrityksistä? SuperMicron palvelinemolevy on loppujen lopuksi triviaali laite, jossa on kourallinen komponentteja ja vähän ohjelmistoa. Ylimääräisten toimintojen piilottaminen sinne ei ole hirveän helppoa ja ylimääräisestä kommunikoinnista sisäverkosta ulospäin jää näkyviä jälkiä todennäköiseen verkon valvontajärjestelmään.

Palvelinemolevyyn verrattuna 5G verkossa on paljon erilaisia verkkoelementtejä, joissa on yhteensä kymmeniä miljoonia rivejä ohjelmistoja ja verkon rajapinnoista julkiseen internettiin kulkee kymmeniä tuhansia yhtäaikaisia datayhteyksiä. Kuinka tällaisen kokonaisuuden integriteetti varmistetaan ja kuinka havaitaan, jos se ”soittaa kotiin”?

On käytännössä mahdotonta varmistaa, että näin monimutkaisessa järjestelmässä ei olisi jonkinlaista takaovea tai muuta ylimääräistä reittiä ulkopuoliseen kontrolliin. Ja joka tapauksessa niissä jonkintasoinen yhteys valmistajalle ongelmien selvittelyä ym toimintaa varten. Tähän samaan ajatukseen on päätynyt myös suojelupoliisin päällikkö Antti Pelttari. Hän varoittaa voimakkaasti avaamasta yhteiskunnan toiminnan kannalta kriittiseen infraan paraatiovia potentiaalisesti vihamieliselle toimijalle.
​
Artikkelissa mainituissa tapauksissa yhteisenä tekijänä on hankintaketjun hallinta. Varmistaaksesi tuotteesi turvallisuuden on sinun varmistettava, että henkilökuntasi, kaikki käyttämäsi rauta ja ohjelmistot ovat turvallisia. Samankaltaista teemaa käsiteltiin jo viime vuoden lopulla tapahtuneen SolarWinds yhtiön verkonhallintaohjelmiston Orionin päivityksen mukana tuhansiin yrityksiin levitetyn takaoven yhteydessä.
Ja lopuksi vastaus blogikirjoituksen otsikkoon - Ei ole olemassa täydellistä tietoturvaa

Jos vastapuolella on riittävästi aikaa ja ison valtiollisen toimijan resurssit, on erittäin todennäköistä, että he pääsevät järjestelmiisi ennemmin tai myöhemmin. Tästä on esimerkkejä puolin ja toisin. Edward Snowdenin paljastusten myötä tiedämme, että NSA ja CIA käyttävät vastaavia tekniikoita kuin Kiina ja muut suuret valtiot.

Tämän tason toiminta on erittäin kallista ja hankalaa toteuttaa. Implantin järjestäminen palvelinemolevylle, oikealle asiakkaalle ja oikeaan konesaliin voi olla parin vuoden projekti, ehkä pidempikin, jos se edellyttää ensin omien työntekijöiden saamista valmistajan palkkalistoille.
​
Yrityksellesi löytyvät pätevät tietoturvaratkaisut tavanomaisia hyökkääjiä vastaan NCC Groupin Managed Detection & Response palvelulla.
Lähteet:
  • Maailman suurin tietomurto? (netect.fi)
  • https://www.bloomberg.com/features/2021-supermicro/
  • https://blog.senr.io/blog/impervious-implants-splintery-supply-chains
  • https://arstechnica.com/information-technology/2017/02/apple-axed-supermicro-servers-from-datacenters-because-of-bad-firmware-update/
  • https://twitter.com/qrs/status/1047910169261330432


NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa.
Lisätietoja: https://www.netect.fi/tietoturva.html

Maailman suurin tietomurto?

12/15/2020

 
Aikaisemmin mainittu FireEyehin kohdistunut murto on osoittautunut vain pieneksi osaksi globaalia kampanjaa
Picture
Tietoturvayhtiö FireEyehin kohdistuneet tietomurron yksityiskohdat ovat tarkentuneet. Yhtiöön murtauduttiin SolarWinds yhtiön Orion ohjelmiston kautta. Murtautujat olivat lisänneet Orioniin takaoven, jota FireEye kutsuu nimellä SUNBURST ja muutettu ohjelmisto jaeltiin asiakkaille normaalin päivityskanavan kautta.

SolarWinds yhtiön Orion on isoissa organisaatioissa käytetty verkonhallintaohjelmisto. Yhdysvaltojen valtiollisista laitoksista sitä käyttävät muun muassa:
  • Interior Department, including Bureau of Land Management, Bureau of Ocean Energy Management, National Parks Service, Bureau of Safety and Environmental Enforcement and the Interior Business Center, which provides managed human resources, accounting and IT services to other federal agencies
  • Defense Logistics Agency
  • Defense Threat Reduction Agency
  • Air Force
  • Army
  • Navy
  • Energy Department
  • Agriculture Department, including the Farm Service Agency
  • General Services Administration, including the Federal Acquisition Service
  • Justice Department, including the FBI
  • Transportation Department, including the Federal Highway Administration
  • Health and Human Services Department, including the Food and Drug Administration and National Institutes of Health
  • Treasury Department, including the IRS and Office of the Comptroller of the Currency
  • Commerce Department, including the National Oceanic and Atmospheric Administration and Census Bureau
  • National Science Foundation
  • State Department
  • Homeland Security Department, including the Transportation Security Agency and Immigration and Customs Enforcement
  • Veterans Affairs Department

​Solarwindsin yritys- / yhteisöasiakkaita ovat mm:
Picture
Edellä mainittujen lisäksi Orionia käyttää esimerkiksi Dominion software, jonka äänestysjärjestelmät olivat laajasti käytössä USA:n presidentinvaaleissa.

FireEyen mukaan heidän toistaiseksi nimellä UNC2452 kutsumansa ryhmä on hyökännyt globaalisti valtiollisiin ja yksityisiin organisaatioihin. Lähdelistasta löytyvä linkki kuvaa SUNBURSTin toimintaa ja sisältää ohjeita sen havaitsemiseksi sekä torjumiseksi.

Hyökkääjillä oli siis avoimet ovet satoihin organisaatioihin ja puoli vuotta aikaa toimia murretuissa järjestelmissä ennen kuin hyökkäys huomattiin. Heillä oli siis hyvin aikaa hakea haluamansa ja mahdollisuus esimerkiksi vaikuttaa USA:n presidentin vaalin tuloksiin näin halutessaan. On kuitenkin muistettava, että vaikka takaoven asentaminen saatiin automatisoitua, niin varsinainen kohdejärjestelmissä liikkuminen, tarvittavien käyttöoikeuksien hankkiminen ja tiedon etsintä on käytännössä käsityötä. Tämä rajoittaa rinnakkaista toimintaa, joten toistaiseksi voimme vain arvailla kuinka suuri on oikeasti varastetun tiedon määrä.

Tämä saattaa hyvinkin olla maailman suurin tietomurto. 

Lähteet:
  • https://thehackernews.com/2020/12/us-agencies-and-fireeye-were-hacked.html
  • https://www.nextgov.com/cybersecurity/2020/12/cisa-orders-federal-agencies-turn-solarwinds-products/170737/
  • https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

Mitä hyökkäyksen torjumiseksi olisi voitu tehdä?

Orion ohjelmiston käyttäjät luottivat SolarWindsin turvajärjestelyihin ja siihen että heidän käyttämänsä ohjelma on turvallinen. Heidän näkökulmastaan Orionin takaovellisen version asentuminen oli järjestelmäpäivitys siinä missä muutkin, tätä siis ei ollut mahdollista torjua edes teoriassa.
​

Järjestelmään pääsyn jälkeen murtautujat toimivat erittäin varovasti ja poistivat tekemänsä järjestelmämuutokset sekä työkalut käytön jälkeen. Heidän menetelmänsä kuitenkin jättivät jonkin verran jälkiä, jotka olisivat olleet havaittavissa, jos etukäteen olisi tiedetty mitä etsiä.
Kampanja oli poikkeuksellinen, koska luotetun ohjelmistotoimittajan jakelutien hyödyntäminen antoi hyökkääjälle pääsyn satoihin kohteisiin kerralla. Tavallinen kohde kerrallaan etenevä tietomurtaja jää kiinni ennemmin tai myöhemmin ja hänen käyttämänsä menetelmien jäljet saadaan osaksi havainnointijärjestelmää, joten kampanjan jatkaminen samoilla menetelmillä vaikeutuu merkittävästi.

FireEye listaa blogipäivityksessään murron aikana käytettyjä tekniikoita MITRE ATT&CK viitekehyksessä. Tarkkailemalla näitä tapahtumia tietojärjestelmässä olisi käynnissä oleva tietomurto saatettu havaita aikaisemmin:
Picture
https://attack.mitre.org/

​NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa.
Lisätietoja: https://www.netect.fi/tietoturva.html

Tietomurto FireEye tietoturvayhtiöön

12/11/2020

 
Picture
Tietoturvayhtiö FireEye on ilmoittanut, että osaamiselta ja kyvyiltään valtiollisen toimijan tasoinen murtautuja on päässyt heidän järjestelmiinsä.

Yhtiö julkaisi tiedotteen murrosta 8.12. Tiedotteessa FireEyen toimitusjohtaja Kevin Mandia kertoo, että murtautujat olivat räätälöineet huippuluokan murtautumistekniikoistaan erityisesti FireEyen järjestelmiä vastaan suunnatun hyökkäyksen. He toteuttivat murron pystyen kiertämään vastatoimet ja välttämään jälkien jättämisen järjestelmiin. Murtautujat käyttävät tietoturva-alalla aikaisemmin tuntematonta murtautumistekniikkojen yhdistelmää.

Murtautujat onnistuivat saamaan yrityksen Red Teamien käyttämät ohjelmat. Näitä ohjelmia käytetään asiakkaan turvallisuuden analysointiin rikollisten toimintaa matkimalla, eli on siis mahdollista, että tulemme tulevaisuudessa näkemään tietomurtoja, joissa hyödynnetään FireEyeltä varastettuja ohjelmistoja. Tämän vuoksi FireEye onkin julkaissut kuvauksen vastatoimenpiteistä varastettujen ohjelmien varalta:
  • https://www.fireeye.com/blog/threat-research/2020/12/unauthorized-access-of-fireeye-red-team-tools.html
  • https://github.com/fireeye/red_team_tool_countermeasures
 
FBI ja FireEye tutkivat asiaa edelleen.
 
Lähteet:
  • https://uk.reuters.com/article/fireeye-cyber/us-cybersecurity-firm-fireeye-discloses-breach-theft-of-hacking-tools-idUKKBN28I34H
  • https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
 
Ei ole olemassa täydellistä tietoturvaa. Jos murtautujilla on käytössään lähes rajattomat resurssit ja riittävästi aikaa, niin he todennäköisesti pääsevät päämääräänsä. Yleensä on kuitenkin mahdollista tehdä järjestelmästä riittävän turvallinen kaikkein todennäköisintä tunkeutujaa silmällä pitäen.
​
Kannattaa siis aloittaa analysoimalla minkä tasoinen on todennäköinen hyökkääjä ja mitoittaa vastatoimet sen mukaan. Kyvyiltään valtiollisen tason toimijoita tai vastaavia ei ole paljon ja niiden kiinnostuksen kohteet ovat yleensä hyvin rajattuja.
Picture
Netect Oy edustaa NCC Groupin tietoturvaratkaisuja ja auttaa mielellään sopivan tasoisen tietoturvaratkaisun valinnassa.
Lisätietoja: https://www.netect.fi/tietoturva.html

Maailman kolmanneksi suurin lentokonevalmistaja joutui kiristyshaittaohjelman uhriksi

12/7/2020

 
Picture
Brasilialaisen lentokonevalmistajan Embraerin tietoja julkaistiin lauantaina 5.12. tor-verkossa.
RansomExx kiristyshaittaohjelmaryhmä oli varastanut yrityksen tietoja aiemmin viime kuussa ja päätti julkaista niitä Tor verkossa vauhdittaakseen lunnasvaatimuksiaan.

Pörssilistattu Embraer julkaisi asiasta virallisen tiedotteen 30.11.:
https://www.prnewswire.com/news-releases/embraer-sa-material-fact-301182014.html
Tiedotteessa kerrotaan, että he huomasivat murron 25.11. ja edelleen, että vain yksi palvelin(?) joutui iskun kohteeksi. Embraer on käynnistänyt tietomurtoa koskevat tutkimukset, sekä ryhtynyt ennaltaehkäiseviin toimenpiteisiin uusien tapauksien välttämiseksi. Yhtiön toiminta jatkuu varajärjestelmien avulla, eikä tapauksella ole merkittävää vaikutusta sen toimintoihin.

Sama rikollisryhmittymä on viime kuussa iskenyt muun muassa Brasilian korkeimman oikeuden tietojärjestelmiin: https://www.bleepingcomputer.com/news/security/brazils-court-system-under-massive-ransomexx-ransomware-attack/
 
Mitä tapauksesta voi oppia?

Verkon resurssien segmentointi kannattaa. Murtautujat olivat saaneet riittävät oikeudet yhden järjestelmän salaamiseen ja jos samassa verkossa olisi ollut enemmän samoilla oikeuksilla ylläpidettäviä palvelimia, olisivat he todennäköisesti saaneet salattua nekin. Nyt vahinko jäi suhteellisen pieneksi, toisin kuin useissa aiemmissa viime kuukausien kiristyhaittaohjelmahyökkäyksissä.

Hyökkääjän päästyä sisään yrityksen verkkoon aikaa vastatoimiin on hyvin vähän. Nopeimmat kiristyshaittaohjelmaryhmät ovat saaneet kohdejärjestelmät salattua jo parin vuorokauden kuluttua murtautumisesta, mutta keskimääräinen aika hyökkäyksen loppuun saattamiseen on vain luokkaa seitsemän vuorokautta. On siis olennaista, että yrityksen verkon liikennettä ja laitteita tarkkaillaan reaaliaikaisesti ja että syntyvästä informaatiomassasta pystytään erottamaan käynnissä olevan tietomurron aiheuttamat anomaliat. Jos tässä ei onnistuta, niin tyypillisesti ensimmäinen havainto on kiristyshaittaohjelman näyttämä inforuutu.
 
Kannattaa varmistaa, että yrityksen päätelaitteiden suojaus on kunnossa ja että järjestelmistä saatavaa dataa tarkastellaan ajantasaisilla ja oikeilla säännöillä.

Lähde: 
  • https://www.zdnet.com/article/hackers-leak-data-from-embraer-worlds-third-largest-airplane-maker/#ftag=RSSbaffb68

​Netect Oy edustaa NCC Groupin ulkoistettuja tietoturvapalveluita. Saat meiltä organisaatiollesi palvelut alkaen tietoturvakannauksista ja päättyen 24x7 SOCiin sekä Managed Detection & Response palveluun.
Lisätietoja: https://www.netect.fi/tietoturva.html

Psykoterapiakeskus Vastaamo Oy joutui tietomurron kohteeksi

10/23/2020

 
Picture
Tietomurtaja varasti Psykoterapiakeskus Vastaamo Oy:n potilastiedot joitakin viikkoja sitten. Varkaus koskee vähintään tuhansia asiakkaita ja he ovat saaneet Vastaamolta GDPR:n mukaisen tiedotteen asiasta. Asiakkaille tiedottamista lykättiin käynnissä olevan poliisitutkinnan vuoksi.

Tietomurron tehneen rikollisryhmän edustaja on kertonut murrosta Tor-verkossa ja sen jälkeen media on ollut yhteydessä häneen. Nimellä ransom_man esiintynyt taho on kertonut Vastaamon potilastietojärjestelmän tietoturvan olleen luokattoman huono. Vahvistamattomien tietojen mukaan osa asiakastiedoista oli palvelimella, jossa oli käytetty järjestelmän oletuskäyttäjätunnusta ja salasanaa. Näin ollen tuntemattomalla tavalla Vastaamon verkkoon päässeen murtautujan oli helppo päästä käsiksi asiakastietohin vuoteen 2018 asti.

Tietomurtajat ovat kertoneet kopioineensa koko Vastaamon asiakastietokannan ja pyytävät sen tietojen julkaisematta jättämisestä 40 bitcoinin eli noin € 450 000 lunnaita. He ovat myös julkaisseet kolmena perättäisenä vuorokautena sadan satunnaisen asiakkaan tiedot Tor-verkossa. 

Miksi näin tapahtui?

Tuntematta tarkemmin tietomurron yksityiskohtia voimme esittää vain arvailuja. Jos ransom_manin antamat tiedot pitävät paikkaansa, saattaa suurin yksittäinen ongelma olla yrityksen tietoturvakulttuurin puute.

Kaikkien yrityksessä ei tarvitse olla tietoturvaeksperttejä, mutta tietoturvasta vastaavien tahojen täytyy olla. Järjestelmät on suunniteltava niin, että ainakin kaikkein tärkeimmät tiedot on turvallisesti talletettu salattuna ja että niihin pääse käsiksi vain riittävän tunnistautumisen kautta, esimerkiksi käyttäen 2-vaiheista autentikointia.

Tietoturvasta vastaavilla pitää olla selkeä käsitys siitä mitkä ovat tällä hetkellä vakavimmat uhkat yritykselle. Yrityksen verkon tietoturvaa kannattaa arvioida MITRE ATT&CK viitekehystä vasten ja pohtia sen pohjalta ovatko käytetyt ratkaisut riittävän vahvoja torjumaan ajateltavissa olevaa uhkaa. Huomaako kukaan yrityksen verkkoon päässyt hyökkääjä ennen kuin tilanne on todella huono?

Näiden asioiden hallitseminen edellyttää rahaa ja resursseja. Järjestelmien valvominen itse 24x365 ei ole taloudellisesti järkevää kuin erittäin suurille yrityksille ja tiedustelutiedot uhkatilanteesta pitää joka tapauksessa ostaa muilta. Usein helpompi ja kustannustehokkaampi ratkaisu onkin ostaa nämä kaikki palveluna alan ammattilaisilta.

NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. ​Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa.
​Lisätietoja: https://www.netect.fi/tietoturva.html

BazarBackdoor: Uusi tietojenkalastelukampanja asentaa laitteeseen takaoven

6/9/2020

 
Picture
Yrityskäyttäjiin kohdistettu kalastelukampanja asentaa käyttäjän laitteeseen haittaohjelman, joka mahdollistaa komentojen suorittamisen ja jatkohyökkäyksen yrityksen verkkoon. Käyttäjä saa kalastelusähköpostin, joka on otsikoitu asiakaspalautteeksi, palkkaraportiksi tai listaksi päättyneistä työsuhteista. Sähköposti ei sisällä liitettä vaan linkin Google Docs palveluun.
Linkki johtaa sivulle, jossa kerrotaan, että jos dokumentin katselu ei onnistu automaattisesti niin klikkaa tästä. 

Linkin klikkaaminen käynnistää tiedoston lataamisen käyttäjän koneelle ja koska Windows oletusarvoisesti piilottaa tiedostojen nimien päätteet, ei käyttäjä huomaa lataavansa suoritettavaa tiedostoa. Kun tiedosto käynnistetään, se ottaa yhteyttä komentopalvelimeen ja tarkastaa onko siellä tehtäviä tälle haltuun otetulle laitteelle. Saatuaan haittaohjelman ladattua se lisätään suoraan osaksi Windowsin käyttöjärjestelmärutiinia tiedostoon svchost.exe. Lisäksi ohjelma lisää käyttäjän sisäänkirjautumiseen ajastetun tehtävän, joka tarkistaa onko haittaohjelma jo ladattu ja onko siitä päivitettyä versiota saatavilla. Käyttäjän kone jää siis avoimeksi hyväksikäyttäjälle, kunnes haittaohjelma ja sen tekemät muutokset on poistettu. 

Jos virustorjuntaohjelma ei alun perin estä käyttäjää suorittamasta .doc.exe tai .pdf.exe päätteisiä tiedostoja on tilanne hankala, haittaohjelman latausosuus tekee muutokset svchost.exeen vaikeasti havaittavalla tavalla ja kyseinen prosessi on joka tapauksessa jatkuvasti suorituksessa yhtenä tai useampana instanssina, joten sekään ei herätä huomiota. 

Muistakaa kouluttaa käyttäjiänne sähköpostikalastelun vaaroista ja huolehtia siitä, että yrityksenne tietoturva on riittävällä tasolla!

Lähteet:
  • https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/
  • https://research.nccgroup.com/2020/06/02/in-depth-analysis-of-the-new-team9-malware-family/
    ​
​​NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa. Lisätietoja: https://www.netect.fi/tietoturva.html

Etätyö ja uudet riskit: SharePointin käyttö tietojenkalastelukampanjan alustana

5/18/2020

 
Picture
Päätelaitteiden suojauksen ja mobiilikäyttöjärjestelmien yleistyminen vaikeuttavat oikeudettoman koodin suorittamista yrityskäyttäjien laitteissa. Käyttöoikeustietojen kaappauskampanjat tarjoavat vaihtoehtoisen mahdollisuuden hyödyntää etätyöskentelyratkaisuja kuten VPN:t tai Desktop Gateways, pääsyyn kohdeverkkoon legitiimin väylän kautta.

Käyttöoikeustietojen kaappauskampanja alkaa tyypillisesti vakuuttavalla sähköpostilla tai tekstiviestillä, joka sisältää linkin verkkosivulle, joka rohkaisee käyttäjää antamaan käyttäjänimen, salasanan ja muuta hyödyllistä tietoa, esimerkiksi kaksivaiheiden todennuksen tunnuksen arvon.

Kun rakennetaan käyttöoikeustietojen kalastelukampanjaa, menestys riippuu kyvystä läpäistä sekä tekniset kontrollit että käyttäjän kyvyt havaita väärennös. Tämä vaatii yleensä:
• Voimassa olevan SSL-varmenteen
• Luokitellun verkkotunnuksen
• Luotettavan URL-osoitteen
• Uskottavaa sisältöä
• Asianmukaisesti päätetyn käyttäjäpolun
• Paikan käyttöoikeustietojen sieppaamiseen ja käsittelemiseen

Pelkästään uuden verkkotunnuksen rekisteröiminen ja siihen linkin lähettäminen sähköpostilla johtaa todennäköisesti epäonnistuneeseen tietojenkalastelukampanjaan. Vaikka sähköposti saavuttaisi kohdekäyttäjän, hyvin konfiguroitu yritysvälityspalvelin todennäköisesti estää liikenteen vasta rekisteröityneeseen verkkotunnukseen, koska siltä puuttuu luokittelu.

Pilvipohjaiset sovelluspaketit, kuten Office365, tarjoavat mahdollisuuden julkaista sisältöä luotetulla verkkotunnuksella. Tässä NCC Group:in blogissa käydään läpi, kuinka luotettavaa Microsoftin pilvi-infrastruktuuria voidaan käyttää käyttöoikeustietojen kaappauskampanjan järjestämiseen: https://research.nccgroup.com/2020/05/14/using-sharepoint-as-a-phishing-platform/.

NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa. Lisätietoja: https://www.netect.fi/tietoturva.html

Uusi kiristyshaittaohjelma iskee yrityksiin – salaa kaikki tiedostot ja varastaa yrityssalaisuudet

5/8/2020

 
Sodinokibi kiristyshaittaohjelma
Kuvan lähde: https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html
Ilta-Sanomat kirjoittaa 7.5.2020: ”Erityisen vaarallinen kiristyshaittaohjelma piinaa suomalaisyritystä –Se aiheuttaa valtavaa tuhoa”
​
  • Sodinokibi/Sodin/REvil kiristyshaittaohjelma havaittiin ensimmäisen kerran Aasiassa huhtikuussa 2019, jolloin se levisi hyväksikäyttämällä haavoittuvuutta Oracle WebLogic palvelimessa (Talos 2019).
  • Heinäkuussa 2019 se havaittiin Italiassa ja tällöin tartuttamisvektorina olivat sähköpostiliitteet ja palvelinten haavoittuvuudet.
  • Joulukuussa 2019 Sodinokibi pysäytti Travelex valuutanvaihtopalvelun liiketoiminnan salaamalla tietojärjestelmien tiedot. Travelexilla on yli tuhat toimipistettä ja tuhat käteisautomaattia 26 maassa. Neuvoteltuaan viikkoja omistajiensa ja yhteistyökumppaniensa kanssa Travelex päätti maksaa kiristäjien vaatiman hinnan salausavaimesta noin 2,3 miljoonaa US dollaria. Tiettävästi he saivat salausavaimen kiristäjiltä ja pystyivät jatkamaan liiketoimintaansa (BankInfoSecurity). 

​Tämän kiristyshaittaohjelman tarttumisen käynnistävä osuus on erilainen jokaiselle vastaanottajalle (kuten kaikissa varteenotettavissa haittaohjelmissa) ja tämän takia se läpäisee useimmat perinteiset virustorjuntaohjelmat. Päästyään koneeseen se salaa kaikki käyttäjän tiedostot vahvalla salauksella, poistaa Windowsin palautuspisteet ja yrittää poistaa myös mahdolliset varmuuskopiot. Prosessin valmistuttua se kertoo tästä käyttäjälle ja antaa ohjeet purkamiseen tarvittavan salausavaimen ostamiseen tor-verkosta Bitcoineilla. Salauksen purkaminen ilman avainta ei ole realistisesti mahdollista. Haittaohjelma osaa myös tehdä kopion kaikista tiedostoista ja ladata ne haluttuun paikkaan. Tällä tavoin rikolliset voivat myös uhata julkaista saamiaan yrityksen salaisia tietoja tai myydä niitä kilpailijayrityksille, jos lunnaita ei makseta.​
Kuinka suojautua kiristyshaittaohjelmilta?

Kouluta käyttäjiä: 
  • Älä lataa tiedostoja tuntemattomista lähteistä
  • Älä avaa epäilyttävien sähköpostien liitteitä
  • Älä klikkaa arveluttavaa linkkiä sähköpostissa tai netissä
  • Älä tallenna pysyvästi liiketoimintakriittistä tietoa käyttäjän omalle koneelle

  • Varmista että varmuuskopiointisi toimii.
  • Varmista että joku varmuuskopioista on talletettu sellaiseen paikkaan, johon normaalitilanteessa ja tavanomaisilla käyttöoikeuksilla ei ole pääsyä.
  • Varmista että laitteidesi tietoturvapäivitykset ovat ajan tasalla.
  • Varmista että organisaatiosi käyttämä tietoturvaohjelmisto huomaa käynnistyvät epäilyttävät prosessit (tässä tapauksessa Windows PowerShell) ja että nämä turvallisuuspoikkeamat huomataan ja käsitellään asianmukaisesti, ennen kuin on liian myöhäistä.

Meidän ratkaisumme kiristyshaittaohjelmaongelmaan on yrityksen tietoturvan tarjoaminen palveluna; CarbonBlack suojaamaan ja tarkkailemaan päätelaitteita ja 24x7 monitorointi sekä toimenpidevalmius NCC Groupin valmiuskeskuksista.

NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa. Lisätietoja: https://www.netect.fi/tietoturva.html

NCC Group tarjoaa kaikille veloituksetta raportin COVID-19 -pandemiaan liittyvistä kyberuhka-aktiviteeteista

4/28/2020

 
Picture
COVID-19 -pandemian aikana olemme nähneet joukon kyberuhkaajien suunnittelemia aktiviteetteja manipuloidakseen ihmisiä luovuttamaan henkilökohtaisia tietojaan ja pääsyä laitteisiinsa. Tässä uusimmassa uhkaraportissaan NCC Group kartoittaa nämä aktiviteetit uusien uhkien tunnistamiseksi ja antaa samalla neuvoja siitä, kuinka voit toimia verkoissa tällä ajanjaksolla turvallisesti. Mikä parasta, raportti ei maksa mitään eikä sido sinua mihinkään!

  • NCC Group lehdistötiedote
  • NCC Group raportin lataussivu

​NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa. Lisätietoja: https://www.netect.fi/tietoturva.html

NCC Group tarjoaa uusinta kohdistetun ransomware -kyberuhkan raporttia sairaaloille täysin veloituksetta

4/15/2020

 
Picture
Kiitos kun pidätte meistä kaikista huolta! 
Sairaaloilla ympäri maailmaa on tarpeeksi huolta taistelussa SARS-CoV-2 virusta ja sen aiheuttamaa epidemiaa vastaan, jotta henkilökunnan tarvitsisi murehtia vielä kyberrikollisten mahdollisuuksista käyttää tilannetta hyväkseen.

Kiitoksen osoituksena tekemästänne työstä ja auttaakseen osaltaan terveydenhuoltoa ympäri maailman sekä tehdäkseen missionsa mukaan yhteiskuntaa turvallisemmaksi NCC Group ja sen kyberturvallisuuden ja riskinhallinnan maailmanlaajuiset asiantuntijat tarjoavat uusinta kohdistetun ransomware -kyberuhkan raporttia terveydenhuolto-sektorille muutaman seuraavan kuukauden ajan täysin veloituksetta.

Raportissa on 13 sivua, tarkemmat tiedot sisällöstä löytyvät alla olevasta lehdistötiedote-linkistä. Sairaalat voivat käyttää näitä tietoja havaitsemaan kyberrikolliset varhaisessa vaiheessa ja ryhtymään korjaaviin toimenpiteisiin parantaakseen vastustuskykyään kyberrikollisuutta vastaan. Tämän raportin ja sen päivitysten lisäksi NCC Group on koonnut uhka-analyytikkonsa, vaaratapahtumiin vastaavat ja tietoverkkojen kestävyyden parantamisen asiantuntijat vastaamaan sekä yleisiin että kiireellisiin kysymyksiin, joita raportin sisällöstä saattaa syntyä.

Olemme lähettäneet tarjouksen suoraan Suomen kaikkiin terveydenhoitopiireihin ja jotkut niistä ovat jo tarttuneet tarjoukseen. Jos haluat raportin, laita vapaamuotoinen sähköposti osoitteeseen info@netect.fi. 
​
  • NCC Group lehdistötiedote
  • NCC Groupin white paper kytkettyjen terveydenhuollon järjestelmien turvallisuudesta; mahdollisista uhkista ja muista huomioon otettavista seikoista turvallista järjestelmää rakennettaessa ja käytettäessä

​NCC Group PLC tarjoaa yrityksen tietoturvan ulkoistettuna palveluna joko kokonaan tai osittain asiakkaan tarpeen mukaan. Netect Oy edustaa NCC Groupin tietoturvatuotteita ja -ratkaisuja Suomessa. Lisätietoja: https://www.netect.fi/tietoturva.html
<<Previous

    Kategoriat

    All
    Covid 19
    Etätyö
    Kybervakoilu
    Ohjelmistokehitys
    Phishing
    Ransomware
    Terveydenhuolto
    Tietoturva
    Ulkoistaminen

    RSS Feed

Netect Oy
Läkkisepänkuja 7, PL 81059, 00620 Helsinki
info@netect.fi


​Rekisteri- ja tietosuojaseloste
​​
  • Etusivu
  • Keita olemme
  • Sovelluskehitys
  • MS ratkaisut
  • Ulkoistuspalvelut
  • Tietoturva
  • Blogi
  • Ota yhteyttä
  • In English
    • Homepage
    • About us
    • Application development
    • MS solutions
    • Outsourcing services
    • Cyber Security