Yhdysvaltalaisten turvallisuusviranomaisten mukaan rikollisjärjestöt pyrkivät kiristämään lunnaita ja lamauttamaan terveydenhoidon mahdollisimman monessa amerikkalaisessa terveydenhuolto-organisaatiossa käyttäen erityisesti TrickBot ja Ryuk haittaohjelmia. Eräskin ryhmittymä kehuu hyökänneensä yli 400 sairaalaan ja saaneen lunnaita jo yli 30 terveydenhuollon organisaatiolta.
 
FireEye tietoturvayrityksen mukaan tyypillinen hyökkäys alkaa aidoksi yrityspostiksi naamioidulla sähköpostilla, jossa on usein vastaanottajan tai terveydenhuollon organisaation nimi joko aihekentässä tai itse tekstissä. Sähköpostin liitteenä on linkki Google PDF dokumenttiin, joka sitten sisältää haittaohjelman. 

Usean tietoturvayrityksen edustajat sanovat, että tämä on suurin kiristyshaittaohjelmahyökkäys, jonka he ovat ikinä nähneet. Hyökkäys näyttäisi olevan pääosin Itäeurooppalaisen rikollisryhmän tekemä. 

Koskahan nämä tai näiden ihailijat ehtivät hyökkäämään voimalla täällä meillä? Taitaa olla aika printata potilaskertomukset, sulkea koneet ja kaivaa reseptivihot esille, jos tietoturva-asiat eivät ole kunnossa!!

Lähteet:

• https://us-cert.cisa.gov/ncas/alerts/aa20-302a 
• https://www.securitymagazine.com/articles/93774-cisa-ransomware-activity-targeting-the-healthcare-and-public-health-sector 
• https://edition.cnn.com/2020/10/28/politics/hospitals-targeted-ransomware-attacks/index.html 
• https://www.bloomberg.com/news/articles/2020-10-28/u-s-hospitals-hit-by-coordinated-ransomware-attack-firm-says 

Universal Health Services (Fortune 500 listattu) terveydenhoito- ja sairaalapalveluita tuottava yritys joutui sulkemaan järjestelmänsä 27.9. jouduttuaan kiristyshaittaohjelman uhriksi. UHS työllistää yli 90 000 ja toimii yli neljässä sadassa toimipaikassa USAssa ja Iso-Britanniassa.

UHSin työntekijän kertoman mukaan järjestelmiin hyökättiin yön aikana ja kaikki tietojärjestelmät olivat saavuttamattomissa useita vuorokausia. Hyökkäyksessä käytettiin ryuk-kiristyshaittaohjelmaa. Yritys ei ole virallisesti kertonut yksityiskohtia hyökkäyksestä, mutta on myöntänyt, että heidän it-järjestelmissään oli ongelma: https://ir.uhsinc.com/news-releases/news-release-details/universal-health-services-inc-reports-information-technology

Advanced Intelligence LLC:n Vitali Kremezin mukaan UHS on ollut Trickbot ja Emotet -troijalaisten kohteena syyskuussa. Tästä voidaan arvata, että hyökkäys on aloitettu lähettämällä Emotet- troijalainen sähköpostitse UHS:n työntekijälle. Vastaanottajan avattua sähköpostin liitteen Emotet asentaa TrickBotin joka puolestaan avaa etäyhteyden uhrin koneesta Ryuk-kiristyshaittaohjelman operaattorille.

5.10. UHS antoi lausunnon, jonka mukaan he ovat edistyneet merkittävästi järjestelmien toiminnan palauttamisessa ja suurin osa toimipisteistä saadaan palautettua verkkoon päivän loppuun mennessä. Lausunnon mukaan hyökkäys ei suoranaisesti vaikuttanut potilastietojärjestelmään mutta UHS:n tietojärjestelmät olivat siis ainakin osittain pois käytöstä kokonaisen viikon: https://www.uhsinc.com/statement-from-universal-health-services/.

Lähde:

• www.bleepingcomputer.com/news/security/uhs-hospitals-hit-by-reported-country-wide-ryuk-ransomware-attack/

Tämän tyyppisiltä hyökkäyksiltä suojautuminen on vaikeaa, koska lähtökohtaisesti työntekijöiden toimenkuvaan kuuluu avata sähköposteja ja reagoida niihin. Lisäksi sähköpostin mukana lähetetty liitetiedosto on todennäköisesti testattu yleisimpiä virustorjuntaohjelmistoja vastaan niin, että se ei aiheuta välitöntä hälytystä vastaanottajan koneella. Geneerisemmin näitä haittaohjelmia vastaan voidaan suojautua etsimällä yrityksen verkkoliikenteestä näille haittaohjelmaperheille tyypillistä liikennettä ja sulkemalla sitä lähettävä laite pois verkosta. 

Suuri osa PK-yrityksistä hallinnoi yrityksen nimissä olevia sometilejä, joita käytetään mm. yritysmarkkinointiin ja asiakaspalveluun. Yritysten sometilejä kaapataan yleensä kolmesta syystä:
- Yritykseltä yritetään kiristää lunnasmaksu sometilin palauttamisesta.
- Yrityksen tiliä käytetään johonkin laajempaan petoksen yritykseen, kun päästään esiintymään luotettuna yritystahona.
- Halutaan vahingoittaa yrityksen mainetta parjauksen tai ihan vaan huvin vuoksi.
​ 
Tässä artikkelissa NCC Group esittelee keinoja, joilla kaappaaja voi napata sometilisi haltuunsa ja myös keinoja, joilla suojautua kaappaukselta: https://newsroom.nccgroup.com/blog_posts/advice-the-risk-of-malicious-social-media-account-takeovers-95810. 

Yrityskäyttäjiin kohdistettu kalastelukampanja asentaa käyttäjän laitteeseen haittaohjelman, joka mahdollistaa komentojen suorittamisen ja jatkohyökkäyksen yrityksen verkkoon. Käyttäjä saa kalastelusähköpostin, joka on otsikoitu asiakaspalautteeksi, palkkaraportiksi tai listaksi päättyneistä työsuhteista. Sähköposti ei sisällä liitettä vaan linkin Google Docs palveluun.
Linkki johtaa sivulle, jossa kerrotaan, että jos dokumentin katselu ei onnistu automaattisesti niin klikkaa tästä. 

Linkin klikkaaminen käynnistää tiedoston lataamisen käyttäjän koneelle ja koska Windows oletusarvoisesti piilottaa tiedostojen nimien päätteet, ei käyttäjä huomaa lataavansa suoritettavaa tiedostoa. Kun tiedosto käynnistetään, se ottaa yhteyttä komentopalvelimeen ja tarkastaa onko siellä tehtäviä tälle haltuun otetulle laitteelle. Saatuaan haittaohjelman ladattua se lisätään suoraan osaksi Windowsin käyttöjärjestelmärutiinia tiedostoon svchost.exe. Lisäksi ohjelma lisää käyttäjän sisäänkirjautumiseen ajastetun tehtävän, joka tarkistaa onko haittaohjelma jo ladattu ja onko siitä päivitettyä versiota saatavilla. Käyttäjän kone jää siis avoimeksi hyväksikäyttäjälle, kunnes haittaohjelma ja sen tekemät muutokset on poistettu. 

Jos virustorjuntaohjelma ei alun perin estä käyttäjää suorittamasta .doc.exe tai .pdf.exe päätteisiä tiedostoja on tilanne hankala, haittaohjelman latausosuus tekee muutokset svchost.exeen vaikeasti havaittavalla tavalla ja kyseinen prosessi on joka tapauksessa jatkuvasti suorituksessa yhtenä tai useampana instanssina, joten sekään ei herätä huomiota. 

Muistakaa kouluttaa käyttäjiänne sähköpostikalastelun vaaroista ja huolehtia siitä, että yrityksenne tietoturva on riittävällä tasolla!

Lähteet:

• https://www.bleepingcomputer.com/news/security/bazarbackdoor-trickbot-gang-s-new-stealthy-network-hacking-malware/
• https://research.nccgroup.com/2020/06/02/in-depth-analysis-of-the-new-team9-malware-family/
  ​

Päätelaitteiden suojauksen ja mobiilikäyttöjärjestelmien yleistyminen vaikeuttavat oikeudettoman koodin suorittamista yrityskäyttäjien laitteissa. Käyttöoikeustietojen kaappauskampanjat tarjoavat vaihtoehtoisen mahdollisuuden hyödyntää etätyöskentelyratkaisuja kuten VPN:t tai Desktop Gateways, pääsyyn kohdeverkkoon legitiimin väylän kautta.

Käyttöoikeustietojen kaappauskampanja alkaa tyypillisesti vakuuttavalla sähköpostilla tai tekstiviestillä, joka sisältää linkin verkkosivulle, joka rohkaisee käyttäjää antamaan käyttäjänimen, salasanan ja muuta hyödyllistä tietoa, esimerkiksi kaksivaiheiden todennuksen tunnuksen arvon.

Kun rakennetaan käyttöoikeustietojen kalastelukampanjaa, menestys riippuu kyvystä läpäistä sekä tekniset kontrollit että käyttäjän kyvyt havaita väärennös. Tämä vaatii yleensä:
• Voimassa olevan SSL-varmenteen
• Luokitellun verkkotunnuksen
• Luotettavan URL-osoitteen
• Uskottavaa sisältöä
• Asianmukaisesti päätetyn käyttäjäpolun
• Paikan käyttöoikeustietojen sieppaamiseen ja käsittelemiseen

Pelkästään uuden verkkotunnuksen rekisteröiminen ja siihen linkin lähettäminen sähköpostilla johtaa todennäköisesti epäonnistuneeseen tietojenkalastelukampanjaan. Vaikka sähköposti saavuttaisi kohdekäyttäjän, hyvin konfiguroitu yritysvälityspalvelin todennäköisesti estää liikenteen vasta rekisteröityneeseen verkkotunnukseen, koska siltä puuttuu luokittelu.

Pilvipohjaiset sovelluspaketit, kuten Office365, tarjoavat mahdollisuuden julkaista sisältöä luotetulla verkkotunnuksella. Tässä NCC Group:in blogissa käydään läpi, kuinka luotettavaa Microsoftin pilvi-infrastruktuuria voidaan käyttää käyttöoikeustietojen kaappauskampanjan järjestämiseen: https://research.nccgroup.com/2020/05/14/using-sharepoint-as-a-phishing-platform/.