Kiristysohjelmien historia: Ennen, nyt ja tulevaisuudessa

Tutustumme kiristysohjelmien historiaan, ja kuinka se on muuttunut vuosien varrella.

Valtava WannaCry-haittaohjelmahyökkäys valtasi otsikoita ympäri maailmaa toukokuussa 2017, ja loi arkikieleen uuden termin – Kiristysohjelma.

Kyberturvallisuus- ja teknologiapiireissä kiristysohjelmista on kuitenkin jo kohistu aivan liian kauan. Viimeisen vuosikymmenen aikana kiristysohjelmat ovatkin todennäköisesti olleet tuottoisin ja laaja-alaisin kyberuhka. Yhdysvaltain viranomaisten mukaan vuodesta 2005 alkaen kiristysohjelmahyökkäykset ovat päihittäneet määrällisesti verkon tietovuodot.

Kiristysohjelmahyökkäykset eivät ole perinteisesti olleet suuruudeltaan maailmanlaajuisia, ja kenties juuri tästä syystä ongelma säilyi pitkään suuren yleisön tietoisuuden ulkopuolella. WannaCry muutti kuitenkin kaiken. Yli 300 000 tietokoneeseen maailmanlaajuisesti vaikuttanut WannaCry nousi otsikoihin onnistuttuaan kaatamaan suuria instituutioita, joista yksi oli Yhdistyneen kuningaskunnan julkinen terveydenhuoltojärjestelmä (NHS).

Jos WannaCry oli riittävän suuri kyberhyökkäys pysäyttämään maailman, sen voidaan päätellä antaneen esimakua tulevasta. Kiristysohjelmien levittämiseen käytettävien matojen tullessa yhä monimutkaisimmiksi ja jakamistapojen tehokkaammiksi, todennäköisyys yhä suuremmille hyökkäyksille kasvaa.

Tässä artikkelissa tutustumme kiristysohjelmien historiaan. Selvitämme, miten ne kehittyivät ennen kuin ne ponnistivat varjoista yhdeksi 2000-luvun suurimmista kyberturvallisuuden uhista. Kartoitamme kaikki merkittävät tapahtumat, erilaiset käytetyt tekniikat, ja tärkeimmät keksinnöt, jotka johtivat viime aikaiseen maailmanlaajuisten hyökkäysten tulvaan. Tämän jälkeen pohdimme sitä, mitä tulevaisuudelta voi odottaa.

Mikä on kiristysohjelma?

Aluksi muutamia määritelmiä. Kiristysohjelma lukeutuu haittaohjelmiin, jotka on suunniteltu erityisesti taloudellisen hyödyn saavuttamiseksi. Mutta toisin kuin hakkerointiin käytetyt virukset, kiristysohjelmaa ei ole suunniteltu pääsemään käsiksi tietokoneeseen tai IT-järjestelmään voidakseen varastaa tietoja niistä. Se ei myöskään pyri huijaamaan uhreilta rahaa, kuten monet valevirustorjuntaohjelmat eli “scarewaret” ja tietojen kalasteluyritykset.

Valitettavasti kiristysohjelmat aiheuttavat merkittäviä haittavaikutuksia uhreilleen.

Kiristysohjelma toimii häiritsemällä tietokonejärjestelmän toimintaa tehden siitä käyttökelvottoman. Tämän jälkeen tekijät lähettävät kiristyskirjeen laitteen omistajalle, vaatien rahaa vastineeksi muutosten kumoamisesta.

Useimmat esimerkkitapaukset kiristysohjelmista jakautuvat yhteen kahdesta kategoriasta. Jotkut kiristysohjelmavirukset lukitsevat käyttäjän laitteensa ulkopuolelle, joko jäädyttäen prosessorin, kaapaten käyttäjävarmenne-järjestelmän tai muulla vastaavalla tavalla. Toiset kiristysohjelmatyypit, joihin viitataan usein termillä kryptokiristysohjelma, sen sijaan salakirjoittavat kiintolevyt sisältöineen, tehden kansioiden ja tiedostojen avaamisesta sekä ohjelmien suorittamisesta mahdotonta.

Useimmissa tapauksissa, kun kiristysohjelman jokin osa on suoritettu järjestelmässä, se laukaisee kiristysviestin lähettämisen. Tämä voi aueta ilmoituksena lukitun järjestelmän näytölle. Vaihtoehtoisesti jos kyseessä on kryptohyökkäys, viesti voidaan jopa lähettää sähköpostina tai pikaviestinä uhrille.

Kiristysohjelmien Esihistoria

AIDS Troijalainen

Ensimmäinen laajasti tunnistettu kiristysohjelmatapaus sattui jopa melkein 20 vuotta ennen nykyään tunnetun verkkouhan syntymistä. Vuonna 1989 Harvardissa opiskellut akateemikko, Joseph L Popp, osallistui Maailman terveysjärjestön AIDS-konferenssiin. Ennen konferenssia hän teki edustajille lähetettäväksi 20 000 levyä, jotka hän nimesi nimellä “Tietoa AIDSISTA – Esittelydisketit.”

Pahaa-aavistamattomat edustajat eivät kuitenkaan tienneet, että nämä disketit sisälsivät todellisuudessa tietokoneviruksen, joka pysyi piilossa uhrin tietokoneella jonkin aikaa sen jälkeen, kun levyn sisältö oli avattu. 90 uudelleen käynnistämisen jälkeen virus iski raivolla, salakirjoittaen nopeasti tiedostoja ja piilottaen kokonaisia hakemistoja. Käyttäjälle kerrottiin näytölle ilmestyneessä viestissä, että järjestelmä palautettaisiin ennalleen, kun käyttäjä on lähettänyt 189$ panamalaiseen postilokeroon.

Tri Poppin kekseliäisyys oli aikaansa edellä, ja kuluikin 16 vuotta ennen kuin tähän kiristysohjelman ideaan tartuttiin ja sitä kokeiltiin internetin aikakaudella. Popp itse pidätettiin, mutta hän ei koskaan saanut tuomiota mielenterveysongelmiensa takia.

2005: Year Zero eli Vuosi nolla

Kun seuraavat esimerkit kiristysohjelmista ilmestyivät, Tri. Joseph L Popp oli jo unohdettu, ja internet oli mullistanut tietokoneiden maailman. Internet oli tehnyt kyberrikollisille kaikenlaisten haittaohjelmien levittämisestä paljon helpompaa, ja välissä olevat vuodet olivat myös mahdollistaneet sen, että ohjelmoijat pystyivät nyt kehittämään paljon tehokkaampia salakirjoitusmenetelmiä, kuin mitä Dr Popp käytti.

GPCoder

Yksi ensimmäisistä verkossa levitetyistä kiristysohjelmista oli GPCoder-niminen troijalainen. Ensimmäistä kertaa vuonna 2005 tunnistettu GPCoder saastutti Windows-järjestelmiä ja otti kohteekseen useita eri päätteisiä tiedostoja. Kun tiedostot löydettiin, ne kopioitiin salakirjoitetussa muodossa ja alkuperäiset versiot poistettiin järjestelmästä. Uudet, salakirjoitetut tiedostot olivat lukukelvottomia, ja vahvan RSA-1024 -salakirjoitusmenetelmän käyttäminen varmisti, että yritykset avata tiedostoja epäonnistuivat mitä todennäköisemmin. Käyttäjän näytölle ilmestyi viesti, joka ohjasi heidät työpöydälle luotuun.txt-päätteiseen tiedostoon, josta löytyi yksityiskohtaiset ohjeet tiedostojen avaamisesta vaadittujen lunnaiden maksamiselle.

Archievus

Samana vuonna, kun GPCoder tunnistettiin, toinen vahvaa 1024-bittistä RSA-salakirjoitusta käyttävä troijalainen astui esiin. Kohteena eivät kuitenkaan olleet tietyt suoritettavat tiedostot ja tiedostopäätteet, vaan Archievus yksinkertaisesti salakirjoitti kaiken uhrin Omat tiedostot -kansiossa. Teoriassa tämä tarkoitti sitä, että uhri pystyi yhä käyttämään tietokonetta ja kaikkia muihin kansioihin tallennettuja tiedostoja. Mutta koska useimmat ihmiset tallentavat suurimman osan tärkeimmistä tiedostoistaan (kuten työdokumentit) Omat tiedostot -kansioon oletusarvoisesti, seuraukset olivat silti haitallisia.

Poistaakseen Archievuksen, uhrit ohjattiin verkkosivulle, josta heidän tuli ostaa 30-merkkinen salasana – luonnollisesti sen arvaaminen oli mahdotonta.

2009 – 2012: Rahastusta

Vei aikaa, ennen kuin nämä varhaiset muodot verkossa leviävistä kiristysohjelmista saivat jalansijaa kyberrikollisuuden alamaailmassa. GPCoderin ja Archievuksen kaltaisten troijalaisten tuotot olivat verrattain pieniä, ensisijaisesti siksi, että virustorjuntaohjelmat tunnistivat ja poistivat ne helposti, jolloin niillä oli vain hetki aikaa tienata rahaa.

Yleisesti ottaen aikojen kyberjengit pitäytyivät hakkeroimisessa, tietojen kalastelussa ja ihmisten huijaamisessa valevirustorjuntaohjelmilla.

Ensimmäiset merkit muutoksesta havaittiin vuonna 2009. Kyseisenä vuotena tunnettu ’scareware’ virus nimeltä Vundo vaihtoi taktiikkaa, ja ryhtyi toimimaan kiristysohjelmana. Aiemmin Vundo oli saastuttanut tietokonejärjestelmiä ja laukaissut sitten oman turvallisuusvaroituksensa, joka ohjasi käyttäjät hankkimaan valekorjauksen. Vuonna 2009 analyytikot kuitenkin huomasivat Vundon ryhtyneen salakirjoittamaan tiedostoja uhrien tietokoneilla sekä myymään toimivaa korjausta niiden avaamiseksi.

Tämä oli ensimmäinen merkki siitä, että hakkerit alkoivat ymmärtämään mahdollisuudet tienata rahaa kiristysohjelmilla. Anonyymien verkkopohjaisten maksualustojen lisääntymisen seurauksena oli myös entistä helpompaa vastaanottaa lunnaita huomattavasti suuremmissa määrin. Lisäksi kiristysohjelmat itsessään olivat luonnollisesti myös kehittymässä yhä tehokkaammiksi.

Vuoteen 2011 mennessä pienestä purosta oli kasvanut hyökyaalto. Vuoden ensimmäisen neljänneksen aikana havaittiin 60 000 uutta kiristysohjelmahyökkäystä. Tultaessa vuoden 2012 ensimmäiselle neljännekselle, vastaava luku oli jo 200 000. 2012 vuoden loppuun mennessä, Symantecin tutkijat arvioivat kiristysohjelmien mustan pörssin arvoksi 5 miljoonaa dollaria.

WinLock troijalainen

Vuonna 2011 syntyi uusi kiristysohjelmamuoto. WinLock troijalaista pidetään ensimmäisenä laajasti levinneenä esimerkkinä nykyään ns. ’Locker’-kiristysohjemana tunnetusta haittaohjelmasta. Sen sijaan, että locker salakirjoittaisi uhrin laitteessa olevia tiedostoja, se tekee sisäänkirjautumisesta laitteelle yksinkertaisesti mahdotonta.

WinLock troijalainen aloitti uuden kiristysohjelmien trendin, jossa matkittiin aitoja tuotteita hieman vanhan scareware-taktiikan tapaan. Windows-järjestelmiä saastuttanut virus kopioi Windowsin Aktivointi-järjestelmän ja esti käyttäjien pääsyn laitteelle siihen asti, että he ostivat aktivointiin vaadittavan avaimen.  Tehdäkseen hyökkäyksestä vielä häikäilemättömämmän, valheellisella aktivointinäytöllä esitetty ilmoitus kertoi uhreille, että heidän tuli aktivoida Windows-tilinsä uudelleen petoksen takia. Tämän jälkeen heidät ohjattiin soittamaan kansainväliseen numeroon saadakseen apua ongelmaan. Puhelinnumeron kerrottiin olevan maksuton, mutta todellisuudessa siitä kertyi soittajalle valtava lasku, joka oletettavasti meni haittaohjelman takana olevien rikollisten taskuun.

Reveton ja ‘Poliisikiristysohjelmat’

Yksi variaatio vastaavasta teemasta, jossa uhria huijataan maksamaan valetilauksesta matkimalla oikeita ohjelmistoja, oli ns. ’poliisikiristysohjelmien’ ilmaantuminen. Näissä hyökkäyksissä haittaohjelma hyökkäsi saastuneisiin järjestelmiin lähettäen viestejä, joiden väitettiin olevan peräisin lainvalvontaviranomaisilta ja valtiovallalta. Viesteissä kerrottiin löytyneen todisteita siitä, että laitetta on käytetty laittomaan toimintaan. Laite ’takavarikoitiin’ lukitsemalla se, kunnes tietty lahjus tai sakko maksettaisiin.

Tämänkaltaiset esimerkkitapaukset levisivät usein pornosivustojen, tiedostonjakopalveluiden ja muiden verkkoalustojen kautta, joita voitiin käyttää potentiaalisesti haitallisiin tarkoituksiin. Tarkoituksena oli epäilemättä pelotella tai häpäistä uhrit maksamaan lahjuksia ennen kuin he kerkesivät ajattelemaan järkiperäisesti, oliko uhka syytteen saamisesta aito vai ei.

Tehdäkseen näistä hyökkäyksistä aidomman ja uhkaavamman oloisia, poliisikiristysohjelmia muokattiin usein uhrin sijainnin perusteella siten, että ne esittivät heidän IP-osoitteensa tai joissakin tapauksissa suorasyötettä uhrin omasta web-kamerasta, antaen ymmärtää että heitä tarkkailtiin ja nauhoitettiin.

Yksi tunnetuin esimerkki poliisikiristysohjelista tunnetaan nimellä Reveton. Alun perin Eurooppaa saastuttanut Reveton levisi lopulta aina Yhdysvaltoihin asti, jossa uhreille kerrottiin heidän olevan FBI:n tarkkailun alaisena, ja heitä vaadittiin maksamaan 200$ suuruinen ’sakko’ laitteen avaamisesta. Maksut otettiin vastaan elektronisten prepaid-rahapalveluiden, kuten MoneyPakin ja Ukashin kautta. Myöhemmin tätä taktiikkaa käyttivät myös muut poliisikiristysohjelmat, kuten Urausy ja Kovter.

2013 – 2015: Takaisin salakirjoitukseen

2013 vuoden jälkimmäisellä puoliskolla syntyi uusi variaatio kryptokiristysohjelmista, joka asetti uudet suuntaviivat kamppailulle kyberturvallisuudesta. CryptoLocker mullisti kiristysohjelmien toiminnan monella tavalla. Se ei käyttänyt scarewarelle ja poliisikiristysohjelmille tyypillisiä huijausmenetelmiä. CryptoLockerin ohjelmoijat olivat hyvin suorasanaisia pyrkimyksiensä suhteen. He kertoivat uhrille lähettämässään viestissä tylysti, että kaikki tiedostot on salakirjoitettu, ja ne tullaan poistamaan, mikäli lunnaita ei makseta kolmen päivän kuluessa.

Toiseksi, CryptoLocker havainnollisti, että nykyään kyberrikollisten käytössä olevat salakirjoitusmenetelmät ovat huomattavasti tehokkaampia verrattuna siihen, mitä ne olivat ensimmäisten cryptowarejen ilmaantuessa lähes 10 vuotta sitten. Käyttäen salaisen Tor-verkoston C2-palvelimia, CryptoLockerin ohjelmoijat pystyivät luomaan julkisia ja yksityisiä 2048-bittisiä RSA-avainsalauksia saastuttaakseen tiettyjen päätteiden tiedostoja. Tämä toimi umpikujana; kun henkilö etsi julkista avainta voidakseen purkaa tiedostojen salauksen, tämä osoittautui haastavaksi, sillä ne olivat piilotettuina Tor-verkostoon. Samanaikaisesti ohjelmoijien hallussa oleva yksityinen avain oli jo itsessään äärimmäisen vahva.

Kolmanneksi, CryptoLocker aukoi uusia uria tavalla, jolla sitä levitettiin. Tartunta levisi alunperin GameOver Zeus bottiverkon kautta. Kyseessä on verkko saastuneita ’zombie-tietokoneita’, joita käytetään nimenomaisesti haittaohjelmien levittämiseen internetin kautta. Näin ollen CryptoLocker oli ensimmäinen esimerkki saastuneiden verkkosivujen kautta leviävästä kiristysohjelmasta. CryptoLockeria levitettiin kuitenkin myös tietojen kalastelulla. Tämä toteutui erityisesti yrityksille sähköpostitse lähetettyjen liitetiedostojen avulla, jotka naamioitiin näyttämään asiakasvalituksilta.

CryptoLockerin suuri menestys vaikutti siihen, että kaikista näistä ominaisuuksista on tullut hallitsevia piirteitä sitä seuranneissa kiristysohjelmahyökkäyksissä. Saastuneen järjestelmän salauksen purkamisesta 300$ veloittaneiden CryptoLockerin kehittäjien uskotaan tienanneen jopa 3 miljoonaa dollaria.

Sipulit ja Bitcoinit

CryptoLocker onnistuttiin kukistamaan vuonna 2014, kun Gameover Zeus -bottinetti suljettiin, mutta siihen mennessä oli jo syntynyt useita matkijoita, jotka olivat valmiina jatkamaan tehtävää. Näistä merkittävin oli CryptoWall. Se harjoitti samaa julkisten/yksityisten RSA-avainsalausten luomista Tor-verkon piilopalvelusta käsin, ja se levisi tietojen kalastelun avulla.

The Onion Router (suom. Sipulireititin), tutummin Tor, ryhtyi olemaan yhä merkittävämpi osa kiristysohjelmien luomista ja jakelemista. Tor on anonyymiprojekti, jonka tarkoituksena on auttaa ihmisiä pitämään yksityisenä kaikki, mitä he tekevät internetissä. Nimi tulee tavasta, jolla verkkoliikenne reititetään monimutkaisen, maailmanlaajuisen palvelinverkon läpi, jonka sanotaan kerrostuneen sipulin tavoin. Valitettavasti tämä on myös houkutellut puoleensa kyberrikollisia, jotka haluavat salata toimintansa viranomaisilta, ja juuri tästä syystä Tor-verkosta tuli osa kiristysohjelmien historiaa.

CryptoWall vahvisti myös  Bitcoin -kryptovaluutan kasvavan osuuden kiristysohjelmahyökkäyksissä. Vuoteen 2014 mennessä, tästä kryptovaluutasta oli tullut ihanteellisin maksutapa. Elektroniset prepaid-maksut olivat anonyymejä, mutta niiden nostaminen oli haastavaa ilman rahanpesua. Bitcoinia voitiin puolestaan käyttää rahojen vaihtamiseen ja siirtämiseen netissä välittömästi normaalin valuutan tapaan.

Vuoteen 2015 mennessä, CryptoWallin itsessään arvioitiin tuottaneen 325 miljoonaa dollaria.

Android hyökkäykset

Toinen suuri askel kiristysohjelmien historiassa oli mobiililaitteisiin hyökkäävien versioiden kehittyminen. Nämä kohdistuivat aluksi yksinomaisesti Android-laitteisiin, hyödyntäen Androidin avointa lähdekoodia.

Ensimmäiset tapaukset ilmestyivät vuonna 2014 ja nämä jäljittelivät policeware-formaattia. Sypeng saastutti laitteita väärennetyllä Adobe Flash päivitysviestillä. Se lukitsi näytön, ja esitti valeviestin FBI:lta, jossa käyttäjää vaadittiin maksamaan 200$. Koler oli samankaltainen virus, joka on merkittävä siksi, että se oli yksi ensimmäisistä kiristysohjelmien madoista – itseään kopioiva haittaohjelma, joka luo omat jakelupolkunsa. Koler lähetti automaattisesti kaikille saastuneen laitteen yhteystiedoista löytyville henkilöille viestin, joka sisälsi latauslinkin matoon.

Nimestään huolimatta SimplLocker oli varhainen mobiililaitteisiin kohdistettu kryptokiristysohjelma. Suurin osa muista puolestaan turvautui lukitsemistekniikkaa käyttäviin hyökkäyksiin. Android-kiristysohjelmat toivat mukanaan myös uuden keksinnön. Syntyi ns. DIY-työkalupaketit, joita tulevat kyberkriminaalit kykenivät ostamaan netistä ja sittemmin säätämään niitä itse. Yksi varhainen esimerkki oli Pletor Troijalaiseen perustuva paketti, joka myytiin netissä 5000$ hintaan.

2016: Uhka Kehittyy

Vuodesta 2016 oli tulossa mullistava vuosi kiristysohjelmille. Uudet toimitustavat, uudet alustat ja uuden tyyppiset haittaohjelmat muodostivat yhdessä vakavasti kehittyvän uhan, joka loi perustan tuleville valtaville maailmanlaajuisille hyökkäyksille.

CryptoWall Evolution

Toisin kuin monet kiristysohjelmat, joilla on lyhyt tähtihetkensä, mutta jotka onnistutaan kukistamaan pian tavalla tai toisella, CryptoWallin uhka ei koskaan kadonnut. Neljän erillisen julkaisun kautta kehittynyt CryptoWall raivasi tietä uusille tekniikoille, joita myöhemmät kiristysohjelmat ryhtyivät jäljittelemään. Näihin lukeutui esimerkiksi kopioitujen rekisteriavainten käyttäminen, jolloin haittaohjelma latautuu jokaisen uudelleen käynnistyksen yhteydessä. Tämä on nerokasta, koska haittaohjelma ei aina käynnisty välittömästi, vaan se odottaa mahdollisuutta liittyä salausavaimen sisältämään etäpalvelimeen. Automaattinen latautuminen uudelleen käynnistymisen yhteydessä maksimoi mahdollisuudet tämän onnistumiseen.

Locky

Aggressiivisella, tietojen kalasteluun perustuvalla levitystavallaan, Locky toimi ennakkotapauksena, mitä tulee levittämisen puhtaaseen nopeuteen ja laajuuteen. Huippupisteessään sen kerrottiin saastuttaneen jopa 100 000 uutta järjestelmää päivittäin. Tämä tapahtui hyödyntämällä alun perin Android-työkalupakkien käyttämää franchising-järjestelmää, jonka avulla houkuteltiin useampia rikollisia osallistumaan levittämiseen. Se myös enteili WannaCry-hyökkäystä kohdistamalla iskun terveyspalveluiden tarjoajiin, sillä perustajat oppivat tärkeiden julkisten palveluiden maksavan lunnaat nopeasti saadakseen järjestelmänsä toimimaan uudelleen.

Useat alustat

Vuonna 2016 nähtiin myös ensimmäinen kiristysohjelma, joka oli ohjelmoitu vaikuttamaan Mac-järjestelmiin. KeRanger oli erityisen häijy, koska se onnistui salakirjoittamaan Time Machine-varmuuskopioita sekä tavallisia Mac-tiedostoja. Näin se päihitti Macien tavallisen kyvyn palauttaa itsensä aiempiin versioihin ongelmatapauksissa.

Pian KeRangerin jälkeen ilmestyi myös ensimmäinen kiristysohjelma, joka kykeni saastuttamaan useita eri käyttöjärjestelmiä. JavaScriptillä ohjelmoitu Ransom32 pystyi teoriassa vaikuttamaan kaikkiin laitteisiin, jotka toimivat Windowsilla, Macilla tai Linuxilla.

Uhkana tunnetut haavoittuvaisuudet

Niin kutsuttu “exploit kit” on haittaohjelman levitystapa, joka käyttää hyväksi suosittujen ohjelmistojen tunnettuja haavoittuvuuksia istuttaakseen viruksia. Näistä yksi esimerkki on Angler kit, jota tiedetään käytetyn kiristysohjelmahyökkäyksissä jo vuonna 2015. Ilmiö kiihtyi vuonna 2016, kun useat korkean profiilin kiristysohjelmat ottivat kohteekseen Adobe Flashin ja Microsoft Silverlightin haavoittuvaisuuksia. Yksi näistä tapauksista oli CryptoWall 4.0.

Cryptoworm

Seurauksena Koler-viruksen kehittämisestä, kryptomadoista tuli osa kiristysohjelmien valtavirtaa vuonna 2016. Yksi esimerkki oli Zcryptor-mato, josta kertoi ensimmäisenä Microsoft. Alun perin tietojen kalastelun kautta levitetty Zcryptor kykeni leviämään automaattisesti verkon laitteiden läpi kopioimalla ja suorittamalla itseään.

2017: Kiristysohjelmien Läpimurtovuosi

Kiristysohjelmahyökkäykset kehittyivät nopeasti monimutkaisimmiksi ja laaja-alaisemmiksi 2016 vuoden aikana. Monet tietoturva-analyytikot uskoivatkin, että oli vain ajan kysymys ennen kuin aidosti maailmanlaajuinen tapaus suurimpine hakkerointihyökkäyksineen ja tietovuotoineen tapahtuisi. WannaCry vahvisti näiden pelkojen olevan totta, vallaten otsikoita ympäri maailmaa. Mutta WannaCry ei todellakaan ole ainut tietokoneen käyttäjiä uhkaava kiristysohjelma tänä vuonna.

WannaCry

12. toukokuuta 2017 kiristysohjelma, jonka maailma oppi pian tuntemaan nimellä WannaCry, iski ensimmäisiin uhreihinsa Espanjassa. Muutamassa tunnissa se oli levinnyt satoihin tietokoneisiin kymmenissä maissa. Seuraavien päivien aikana luku kasvoi yli neljännesmiljoonaksi, tehden WannaCrysta historian suurimman kiristysohjelmahyökkäyksen. Se myös varmisti, että koko maailma pysähtyi huomioimaan uhan.

WannaCry on lyhenne nimestä WannaCrypt, mikä viittaa WannaCryn olevan kryptokiristysohjelma. Tarkemmin määriteltynä kyseessä on mato, joka kykenee replikoitumaan ja leviämään automaattisesti.

Mikä teki WannaCrysta niin tehokkaan – ja suurta yleisöä kauhistuttavan – oli levitystapa. Se ei käyttänyt kalasteluyrityksiä tai latauksia vaarallisilta bottiverkkosivuilta. Sen sijaan WannaCry aloitti uuden vaiheen kiristysohjelmien historiassa käyttämällä hyväkseen tietokoneiden tunnettuja haavoittuvaisuuksia. Se ohjelmoitiin etsimään ja saastuttamaan tietokoneita, jotka toimivat Windows Serverin vanhemmilla versioilla, joissa oli tunnettu tietoturvaongelma. Kun se oli saastuttanut yhden verkon tietokoneista, se etsi nopeasti muita samasta viasta kärsiviä koneita, ja saastutti myös nämä.

Tämä selittää, miksi WannaCry onnistui leviämään niin nopeasti, ja miksi se onnistui erityisen tehokkaasti hyökkäämään suurien organisaatioiden järjestelmiin, mukaan lukien pankit, julkisen liikenteen elimet, yliopistot ja julkiset terveyspalvelut, kuten NHS. Samasta syystä se myös nousi lukuisiin otsikoihin.

Mikä todella järkytti kuitenkin monia ihmisiä, oli se että WannaCryn hyväksikäyttämä tietoturva-aukko oli todellisuudessa tunnistettu jo vuosia sitten Yhdysvaltain Kansallisen turvallisuusviraston (NSA) toimesta. Sen sijaan, että turvallisuusvirasto olisi varoittanut maailmaa siitä, NSA pysytteli vaiti, ja kehitti oman haittaohjelmansa hyödyntääkseen tätä heikkoutta kyberaseen luomiseksi. Käytännössä WannaCry siis rakentui valtion turvallisuusviraston kehittämän järjestelmän pohjalta.

Petya

WannaCryta seurasi nopeasti toinen mantereet ylittävä kiristysohjelmahyökkäys, joka kaatoi tuhansia tietokoneita maailman jokaisessa nurkassa.  Petya -nimisessä hyökkäyksessä merkittävintä oli, että se käytti hyväkseen täysin samaa Windowsin tietoturva-aukkoa kuin WannaCry. Näin se osoitti konkreettisesti, kuinka tehokas NSA:n suunnittelema kyberase olisi voinut olla. Se näytti myös, kuinka hankalaa tietokoneen käyttäjiä on saada pitämään tietoturvapäivitykset ajan tasalla, sillä useita koneita saastui WannaCryn jälkeen julkaistusta päivityksestä huolimatta.

LeakerLocker

Osoituksena kiristysohjelmien uhkan muuntautumiskyvystä on yksi viimeisimmistä suuren mittakaavan hyökkäyksistä, joka palasi takaisin scareware- ja kiristystaktiikoihin – mutta uudella twistillä. Android-laitteet kohteekseen ottanut LeakerLocker uhkasi jakaa koko mobiilikäyttäjän laitteen sisällön henkilön yhteystietojen kanssa. Jos puhelimeen oli siis tallennettuna jotain noloa tai muuten huonoon valoon saattavaa sisältöä, oli parasta maksaa, tai muuten ystävät, kollegat ja sukulaiset voisivat pian nähdä, mitä henkilöllä oli piiloteltavana.

Mitä tulevaisuus tuo tullessaan kiristysohjelmille?

Ottaen huomioon kyberrikollisten kiristysohjelmilla ansaitsemien tuottojen eksponentiaalisen kasvun, voimme olettaa, että kuulemme niistä vielä paljon tulevaisuudessa. WannaCryn itsestään leviävän madon sekä järjestelmän tietoturva-aukkojen hyödyntäminen onnistuneesti antoi todennäköisesti suuntaviivat useimmille lähitulevaisuuden hyökkäyksille.  Olisi kuitenkin sinisilmäistä kuvitella, etteikö kiristysohjelmien kehittäjät olisi jo kehittämässä uusia tapoja saastuttaa, levittää ja tahkota rahaa kiristysohjelmillaan.

Mitä voimme siis odottaa tulevaisuudelta?

Yksi suuri huolenaihe on kiristysohjelmien potentiaali ryhtyä hyökkäämään muihin digitaalisiin laitteisiin tietokoneiden ja älypuhelimien lisäksi. Esineiden internetin (IoT) yleistyessä yhä useammat arkipäivän laitteet digitoidaan ja yhdistetään internetiin. Tämä luo valtavat uudet markkinat kyberrikollisille, jotka voivat käyttää kiristysohjelmia lukitsemaan autonomistajat kulkuneuvonsa ulkopuolelle tai laskemaan kodin lämmitysjärjestelmän jääkylmäksi, kunnes henkilö maksaa lunnaat. Näin kiristysohjelmien mahdollisuus vaikuttaa suoraan joka päiväiseen elämäämme tulee vain kasvamaan.

Toinen mahdollisuus on, että kiristysohjelmien painopiste siirtyisi pois henkilökohtaisista laitteista ja niiden käyttäjistä. Yksittäisen tietokoneen tiedostoihin hyökkäämisen sijaan kiristysohjelmat voisivat mahdollisesti pyrkiä käyttämään SQL-injektioita salakirjoittaakseen verkkopalvelinjärjestelmissä sijaitsevia tietokantoja. Seuraukset olisivat katastrofaaliset . Näin voitaisiin esimerkiksi tuhota kansainvälisen yrityksen koko infrastruktuuri tai kaataa kaikki internet palvelut, mikä vaikuttaisi satoihin tuhansiin käyttäjiin.

Riippumatta siitä, kuinka kiristysohjelmat tulevat kehittymään, meidän tulisi varautua sen olevan suuri uhka kyberturvallisuudelle vielä monien vuosien ajan. Tarkkaile siis avaamiasi sähköpostiviestejä, sivustoja joilla vierailet, ja pidä tietoturvapäivitykset ajan tasalla – tai voit päätyä osaksi kiristysohjelmien uhrien joukkoa.

Voiko VPN Ehkäistä Kiristysohjelmahyökkäyksiä?

Vaikka VPN:n käyttäminen ei voi suojata sinua haittaohjelmien hyökkäyksiltä, se parantaa kuitenkin järjestelmän turvatasoa tehden siitä paremmin suojatun. VPN:llä on monia etuja.

  • Kun käytät VPN:ää, IP-osoitteesi piilotetaan ja voit käyttää verkkoa anonyymisti. Tämä tekee haittaohjelmien kehittäjille hankalampaa hyökätä koneeseesi. Tyypillisesti he etsivät haavoittuvaisempia käyttäjiä.
  • Kun jaat tai käytät tietoja internetissä käyttäen VPN:ää, tiedot salakirjoitetaan ja haittaohjelmien tekijöiden on hyvin hankalaa päästä niihin käsiksi.
  • Luotettavat VPN-palvelut myös lisäävät epäilyttävät verkko-osoitteet mustalle listalle.

Näiden tekijöiden ansiosta, VPN:n käyttäminen suojaa sinua paremmin haittaohjelmilta – kiristysohjelmat mukaan lukien. Valittavanasi on useita VPN-palveluita. Varmista, että valitsemasi VPN-palveluntarjoaja on hyvämaineinen, ja että heillä on riittävästi osaamista verkkoturvallisuuden osa-alueella.

Jos etsit VPN:ää, katso sivustomme suositelluimmat VPN:t luotettavien käyttäjien mukaan.

Oliko tästä apua? Jaa se!