Mitä WannaCrysta on hyvä tietää
Mitä oikein tapahtui?
12.5.2017 useat organisaatiot joutuivat WannaCry-nimisen kryptokiristysohjelman hyökkäyksen kohteeksi. Saastuneiden laitteiden käyttäjät eivät pysty käyttämään koneitaan, elleivät he maksa jopa 300 dollaria Bitcoin-lunnaita. WannaCryn lunnasviestissä tosin vakuutetaan, että jos olet ”liian köyhä maksaaksesi” lunnaat, saat tiedostosi takaisin ilmaiseksi… kuuden kuukauden kuluttua.
Kuinka tällainen on mahdollista?
F-Secure Labs on varoittanut kiristyshaittaohjelmien räjähdysmäisestä kasvusta ja valtiollisten valvontatyökalujen leviämisestä. WannaCryssa näyttää yhdistyvän molempien pahimmat vaarat.
Keneen on osunut?
Hyökkäyksen kohteeksi on joutunut valtava määrä organisaatioita, mukana myös huomattavan paljon julkista infrastruktuuria. Olemme saaneet tästä maailmanlaajuisesta hyökkäyksestä raportteja yli 60 maasta. Sen kohteeksi ovat joutuneet terveydenhuoltoalan organisaatiot, teleoperaattorit ja polttoaine- ja sähköyhtiöt. Iso-Britannian kansallinen terveyspalvelu NHS on yksi hyökkäyksestä eniten kärsineistä organisaatioista, ja se joutui hyökkäyksen seurauksena sulkemaan sairaaloita ja siirtämään leikkauksia.
F-Secure Labsin tietojen mukaan eniten hyökkäyksen kohteeksi joutuneita on Venäjällä ja Kiinassa, seuraavaksi eniten Ranskassa, Taiwanissa, Yhdysvalloissa, Ukrainassa ja Etelä-Koreassa.
Kuinka suuresta jutusta on kysymys?
Tutkimusjohtajamme Mikko Hyppönen kutsui WannaCryta ”historian suurimmaksi haittaohjelmahyökkäykseksi” tartunnan saaneiden koneiden lukumäärällä mitattuna. Mutta lauantaiaamuna, päivä hyökkäyksen alkamisen jälkeen, sillä oli tehty F-Secure Labsin Andy Patelin mukaan vain vaivaiset 25 000 dollaria. Tämä Twitter-tili näyttää seuraavan lunnaita, jotka maksetaan WannaCryhin yhdistettyihin Bitcoin-lompakoihin.
”WCryn leviämistä hidasti ”sattumanvarainen sankari”, joka rekisteröi koodista löytämänsä verkkotunnuksen”, Andy huomauttaa. Emme kuitenkaan ole vielä selvillä vesillä. ”Koodia täytyy vain vähän editoida, ja uudelleenjulkaisu saa ohjelman taas leviämään kulovalkean tavoin.”
Miksi hyökkäys on näin mittava?
WannaCry käyttää hyväksi Microsoft Windowsin Server Message Blockissa (SMB) olevaa haavoittuvuutta, joka voi sallia koodin suorittamisen etänä. Microsoft korjasi haavoittuvuuden jo maaliskuussa (MS17-010), mutta useissa it-ympäristöissä ohjelmistokorjaukset eivät ole ajan tasalla tai käytössä on legacy-järjestelmiä, kuten XP, joita ei enää tueta tai joihin ei enää tarjota tietoturvapäivityksiä. On myös paljon koneita (erityisesti Kiinassa ja Venäjällä), jotka käyttävät Windowsin piraattikopioita, joihin virallisia päivityksiä ei ole saatavilla.
Hyökkäyksen laajuudesta johtuen Microsoft julkaisi ohjelmistokorjauksen XP:lle ja 2003-palvelimelle.
Olisiko hyökkäys voitu estää?
Hyökkäyksen laajuus kertoo siitä, kuinka paljon maailmalla on koneita ilman viimeisimpiä tietoturvapäivityksiä. Tähän voi olla kolme syytä: päivitys on ollut saatavilla maaliskuusta asti, mutta sitä ei olla jostain syystä asennettu, käytössä on Windowsin piraattiversio (joka ei saa tietoturvapäivityksiä, kuten oikeat, legitiimit asiakkaat saavat) tai heillä on käytössään Windows XP, jota ei enää tueta ja joka ei näin ollen saa päivityksiä.
Kuinka hyökkäyksen voi estää? Pitämällä ohjelmistot ajan tasalla.
Miksi WannaCry leviä niin nopeasti?
Se leviää nopeasti, koska MS17-010-haavoittuvuus antaa sen hyödyntäjän toimia ”matona”. Ja madot leviävät nopeasti. WannaCry toimii madon tapaan: se kykenee hakemaan ja paikantamaan muita palvelimia ja kopioimaan itsensä altistuneille koneille EternalBlue-haavoittuvuuden avulla. Tähän ei vaadita lainkaan käyttäjän vuorovaikutusta. Väitteitä, joiden mukaan ohjelma olisi aluperin jaettu roskapostin kautta, ei ole vielä vahvistettu.
Mato vai troijalainen?
WannaCry on troijalainen, jolla on verkossa madon kaltaisia piirteitä.
Miksi tämä tuntuu niin tutulta?
“Tämä on tuulahdus menneisyydestä, koska tällaiset kiristyshaittaohjelmat eivät ole uusia”, sanoo F-Securen tietoturvaneuvoja Sean Sullivan. ”Organisaatiot ovat aivan liian pitkään olleet piittaamatta perustavasta palomuurihygieniasta, ja tämän vuoksi WannaCry on lähtenyt käsistä niin helposti.”
Olenko suojassa tätä uhkaa vastaan?
F-Securen asiakkaat on suojattu kehittyneellä päätelaitesuojauksella, joka tarjoaa seuraavan sukupolven teknologiaa. F-Securen Deepguard-toiminnallisuus suorittaa konetason käyttäytymiseen perustuvaa analyysiä ja torjuu WannaCryptin tapaiset kiristyshaittaohjelmat jo etukäteen.
Ohjelman leviämisen ehkäisemiseksi organisaatioissa kannattaa varmistaa, että palomuuriasetukset on määritelty asianmukaisesti ja viimeisimmät Windowsin tietoturvapäivitykset, erityisesti MS17-010, on asennettu. F-Secure Software Updates auttaa yrityksiä auttaa tunnistamaan ja päivittämään kolmansien osapuolten ohjelmistohaavoittuvuudet.
Saanko salatut tiedostot takaisin?
Salauksen purkaminen ei ole tällä hetkellä mahdollista. Salatut tiedostot tulee palauttaa varmuuskopioista, jos mahdollista.
Mistä WannaCry tulee?
WannaCry on rikollinen ohjelma, mutta se hyödyntää haavoittuvuutta, joka tuli tunnetuksi NSA:n kehittämien työkalujen vuoksi. Työkalut olivat osa Venäjään yhdistettävän The Shadow Brokersin vuotoa tämän vuoden huhtikuussa.
Onko hyökkäys kohdistettu?
Ei, tämä ei ole kohdistettu hyökkäys. Kiristysohjelmahyökkäykset ovat tyypillisesti sattumanvaraisia.
Onko tässä jotain hyvää?
Tiedämme, että kyseessä on rikollinen ohjelma, eikä taustalla ole vihamielistä valtiota tai terrostiryhmää. Uhrit voivat maksaa lunnaat päästäkseen jälleen käsiksi koneeseensa, ja tätä vaihtoehtoa pahanilkisempi hyökkäjä ei välttämättä antaisi.
Kuinka F-Secure suojaa asiakkaansa WannaCryta vastaan?
F-Securen päätelaitetuotteet ehkäisevät jo ennalta WannaCryn kaltaiset kiristyshaittaohjelmat. Olemme havainneet kiristyshaittaohjelman jo sen alusta alkaen, joten F-Securen päätelaiteasiakkaat ovat suojassa.
F-Securen päätelaitetuotteet suojaavat WannaCrylta kolmella tasolla. Näin varmistetaan, että hyökkäys saadaan pysäytettyä useassa eri hyökkäysketjun pisteessä.
- Integroitu ohjelmistokorjausten hallintamme Software Updater estää WannaCryta käyttämästä hyväkseen EternalBlue-haavoittuvuutta ottamalla asianmukaiset tietoturvapäivitykset automaattisesti käyttöön.
- F-Securen Deepguard-toiminnallisuus suorittaa konetason käyttäytymiseen perustuvaa analyysiä ja hyödyntää WannaCryn estävää torjuntaa.
- F-Securen palomuuri estää WannaCryta leviämästä ympäristöön ja salaamasta tiedostoja.
Olen F-Securen asiakas, mitä minun pitäisi tehdä?
- Varmista, että DeepGuard ja reaaliaikainen suojaus ovat käytössä kaikissa yrityksesi päätelaitteissa.
- Tunnista Software Updaterin tai muun vastaavan työkalun avulla laitteet, joissa ei ole Microsoftin julkaisemaa ohjelmistokorjausta (4013389).
- Aja päivitys välittömästi Software Updaterilla.
- Jos et voi ajaa ohjelmistokorjausta välittömästi, suosittelemme poistamaan SMBv1:n käytöstä Microsoftin Knowledge Base -artikkelin 2696547 ohjeiden mukaisesti. Näin hyökkäyspinta pienenee.
- Määrittele palomuuri asianmukaisesti.
- Estä verkko- ja konekohtaisilla palomuureilla TCP/445:n liikenne epäluetettavista järjestelmistä.
- Jos mahdollista, estä sisääntuleva 445-liikenne kaikkiin internetiin yhteydessä oleviin Windows-järjestelmiin.
- Vaihtoehtoisesti voit asettaa F-Secure Firewallin korkeimmalle tasolle, jolla on etukäteen määritellyt säännöt hyökkäyksen estämiseksi.
Miten voin parhaiten suojautua kiristyshaittaohjelmilta?
Viisi parasta vinkkiämme siihen, että pidät laitteesi puhtaina kiristyshaittaohjelmista:
- Huolehdi siitä, että käytössäsi on vakaa tietoturvaratkaisu, joka kattaa kaikki laitteesi (PCt, Macit, älypuhelimet ja tabletit) ja suojaa ne. F-Securen päätelaitesuojaus suojaa kaikilta tiedossa olevilta kiristyshaittaohjelmilta ja estää myös täysin uusia nollapäivähyökkäyksiä. Tämä on tärkeää, koska uusia muunnelmia kiristyshaittaohjelmista tulee esiin jatkuvasti.
- Ota tiedostoistasi varmuuskopiot säännöllisesti. Pidä varmuuskopioita tallessa verkon ulkopuolella, jotta ne eivät voi saada tartuntaa. Testaa aika ajoin niiden palauttamista, jotta varmistat niiden toimivuuden. Jos varmuuskopiosi ovat kunnossa ja joudut hyökkäyksen kohteeksi, olet takaisin jaloillasi nopeammin, eikä sinun tarvitse maksaa rikollisille.
- Pidä laitteidesi ohjelmistot ajan tasalla estääksesi hyväksikäytön. Jos et ole varma, miten tämä tehdään, kannattaa harkita työkalua, joka tunnistaa vanhat ohjelmistoversiot ja ehdottaa tarvittavia päivityksiä.
- Ole erityisen varovainen sähköpostiliitteiden, erityisesti ZIP-tiedostojen ja Office-dokumenttien (Word, Excel, PowerPoint) kanssa. Älä avaa liitetiedostoja, joiden lähettäjää et tunne. Estä makrot kaikista sähköpostilla saamistasi Office-tiedostoista.
- Rajoita selaimen liitännäisten käyttöä. Estä usein hyväksikäytetyt liitännäiset, esimerkiksi Flash Player ja Silverlight, silloin kun et käytä niitä. Voit tehdä tämän verkkoselaimesi liitännäisasetuksista.
Eli onko kyseessä ongelmat tietoturvapäivityksissä, hyväksikäyttömahdollisuuksia haalivat tiedustelulaitokset vai mitä?
“Seuraavan hyökkäyksen estääkseen hallitusten on lakattava pitämästä kiinni omaan käyttöön tarkoitetuista haavoittuvuuksista”, sanoo Sean Sullivan. ”Tilanne voisi olla paljon pahempi, jos NSA ei tietäisi siitä, että sen työkalut on vaarannettu. Jos puhtaasti tuhoisa toimija saisi ne käsiinsä… ei hyvä. Toivottavasti NSA:n kaksintaistelumissio palaa takaisin verkkopuolustukseen ja se vähentää fokusta pitää ennemmin kiinni kuin raportoida haavoittuvuuksista.”
Kyseessä myös kasvava riippuvuutemme teknologiasta ja siihen luontaisesti kuuluvista haavoittuvuuksista. Ja siitä, kuinka tämä riippuvuus etenee nopeammin kuin valmiutemme turvata järjestelmämme.
<kuva>
Miltä tämä näyttää tosielämässä?
<kuva>
Onko nyt tapahtunut pahin mahdollinen skenaario?
“Tämä ei ole pahin mahdollinen skenaario”, sanoo Sean Sullivan. ”Hyvä asia on se, että kyseessä ei ollut tuhoisa terroristi tai kansallisvaltion hyökkäys. Koska hyökkäyksellä tavoiteltiin voittoa, se oli suunniteltu kumottavaksi maksua vastaan, ja tämän vuoksi siitä on mahdollisuus toipua. Tämä toimii kuitenkin loistavana soveltuvuustestinä kansallisvaltiotoimijoille, jotka haluavat tehdä jotain sellaista, mitä ei pystytäkään palauttamaan.”
Kategoriat