Uusi kiristyshaittaohjelma iskee yrityksiin – salaa kaikki tiedostot ja varastaa yrityssalaisuudet

Kuvan lähde: https://blog.talosintelligence.com/2019/04/sodinokibi-ransomware-exploits-weblogic.html

Ilta-Sanomat kirjoittaa 7.5.2020: ”Erityisen vaarallinen kiristyshaittaohjelma piinaa suomalaisyritystä –Se aiheuttaa valtavaa tuhoa”
​

• Sodinokibi/Sodin/REvil kiristyshaittaohjelma havaittiin ensimmäisen kerran Aasiassa huhtikuussa 2019, jolloin se levisi hyväksikäyttämällä haavoittuvuutta Oracle WebLogic palvelimessa (Talos 2019).
• Heinäkuussa 2019 se havaittiin Italiassa ja tällöin tartuttamisvektorina olivat sähköpostiliitteet ja palvelinten haavoittuvuudet.
• Joulukuussa 2019 Sodinokibi pysäytti Travelex valuutanvaihtopalvelun liiketoiminnan salaamalla tietojärjestelmien tiedot. Travelexilla on yli tuhat toimipistettä ja tuhat käteisautomaattia 26 maassa. Neuvoteltuaan viikkoja omistajiensa ja yhteistyökumppaniensa kanssa Travelex päätti maksaa kiristäjien vaatiman hinnan salausavaimesta noin 2,3 miljoonaa US dollaria. Tiettävästi he saivat salausavaimen kiristäjiltä ja pystyivät jatkamaan liiketoimintaansa (BankInfoSecurity). 

​Tämän kiristyshaittaohjelman tarttumisen käynnistävä osuus on erilainen jokaiselle vastaanottajalle (kuten kaikissa varteenotettavissa haittaohjelmissa) ja tämän takia se läpäisee useimmat perinteiset virustorjuntaohjelmat. Päästyään koneeseen se salaa kaikki käyttäjän tiedostot vahvalla salauksella, poistaa Windowsin palautuspisteet ja yrittää poistaa myös mahdolliset varmuuskopiot. Prosessin valmistuttua se kertoo tästä käyttäjälle ja antaa ohjeet purkamiseen tarvittavan salausavaimen ostamiseen tor-verkosta Bitcoineilla. Salauksen purkaminen ilman avainta ei ole realistisesti mahdollista. Haittaohjelma osaa myös tehdä kopion kaikista tiedostoista ja ladata ne haluttuun paikkaan. Tällä tavoin rikolliset voivat myös uhata julkaista saamiaan yrityksen salaisia tietoja tai myydä niitä kilpailijayrityksille, jos lunnaita ei makseta.​

Kuinka suojautua kiristyshaittaohjelmilta?

Kouluta käyttäjiä: 

• Älä lataa tiedostoja tuntemattomista lähteistä
• Älä avaa epäilyttävien sähköpostien liitteitä
• Älä klikkaa arveluttavaa linkkiä sähköpostissa tai netissä
• Älä tallenna pysyvästi liiketoimintakriittistä tietoa käyttäjän omalle koneelle

• Varmista että varmuuskopiointisi toimii.
• Varmista että joku varmuuskopioista on talletettu sellaiseen paikkaan, johon normaalitilanteessa ja tavanomaisilla käyttöoikeuksilla ei ole pääsyä.
• Varmista että laitteidesi tietoturvapäivitykset ovat ajan tasalla.
• Varmista että organisaatiosi käyttämä tietoturvaohjelmisto huomaa käynnistyvät epäilyttävät prosessit (tässä tapauksessa Windows PowerShell) ja että nämä turvallisuuspoikkeamat huomataan ja käsitellään asianmukaisesti, ennen kuin on liian myöhäistä.