Kiristyshaittaohjelmat voivat kohdistua niin kansalaisten kotiverkkojen verkkolevyihin kuin monikansallisiin suuriin organisaatioihin. Traficomin Kyberturvallisuuskeskus saa vuosittain keskimäärin 40 ilmoitusta kiristyshaittaohjelmista ja niiden yrityksistä. Marraskuun aikana ilmoitusten määrä on ollut lievässä kasvussa.
Traficomin Kyberturvallisuuskeskuksen erityisasiantuntija Aino-Maria Väyrysen mukaan oman organisaation kriittisten järjestelmien tunnistaminen ja suojaaminen sekä käytännön harjoittelu ovat tärkeitä tekijöitä kiristyshaittaohjelmahyökkäyksiin varautumisessa.
– Kiristyshaittaohjelmilla on usein vaikutuksia organisaation toimintaan ja tapaukset voivat tulla esiin myös julkisuudessa. Siksi myös sisäiseen ja ulkoiseen viestintään kannattaa kiinnittää huomiota, hän sanoo.
Maailmalla viranomaiset ovat aloittaneet laajaa rajat ylittävää yhteistyötä kiristyshaittaohjelmakampanjoiden taltuttamiseksi. Yhdysvalloissa liittovaltion poliisin (FBI) ja Kyber- ja infrastruktuuriturvallisuusviraston (CISA – Cybersecurity & Infrastructure Security Agency) johdolla on perustettu U.S. Joint Ransomware Task Force (JRTF). Ryhmä toimii kansainvälisesti yhdessä muiden maiden kansallisten viranomaisten kanssa.
Kuluneen vuoden aikana on havaittu sekä uusia toimintatapoja että aktiiviseksi nousseita toimijoita. SOCRadar-organisaation seurannan mukaan 8Base-niminen ryhmä oli noussut jo kesäkuun aikana neljänneksi suurimmaksi kiristyshaittaohjelmatoimijaksi.
Kyseinen ryhmittymä vaikuttaa maalittavan ensisijaisesti pieniä ja keskisuuria yrityksiä. Tunnetuissa tapauksissa hyökkäyksiä on kohdistettu tieteen alalle, valmistavaan ja rakentavaan teollisuuteen sekä terveydenhuolto- ja vakuutusaloille.
Toistaiseksi kyseisen ryhmittymän kohteet ovat sijainneet pääosin Pohjois-Amerikassa ja Keski-Euroopassa. Ohjelmistovalmistaja VMWaren tutkimuksien mukaan täyttä varmuutta ei ole myöskään siitä, onko kyseessä täysin uusi toimija, jostain jo olemassa olevasta ryhmästä eriytynyt toimija vai uudelleen nimetty ryhmittymä.
Haittaohjelmia levitetään kokouskutsujen liitteissä
Kyberturvallisuuskeskukselle tulleissa ilmoituksissa on uutena ilmiönä noussut esiin Microsoft Teams -kokouskutsujen tai niiksi naamioitujen viestien liitteenä tuleva .zip-tiedosto.
Kokouskutsujen aiheet ovat viitanneet esimerkiksi muutosneuvotteluihin. Tällä on pyritty luomaan viestin vastaanottajalle kiireen tuntua, ja luvattu vastausten löytyvän kutsun mukana olleesta liitetiedostosta.
Tiedoston avaamisen jälkeen liitteenä ollut haittaohjelma on pyrkinyt aloittamaan varsinaisen kiristyshaittaohjelman lataamisen verkosta koneelle. Toistaiseksi yritykset ovat epäonnistuneet.
