Ransomware attack – toiminta ja varautuminen

Tietokone jumissa. Et pääse kirjautumaan yrityksen järjestelmään. Kuvaruudussa näkyy kyberrikollisen jättämä viesti maksettavista lunnaista kryptovaluutassa. Lisäksi vähemmän iloinen pääkallo on jätetty vilkkumaan näytölle käyntikortiksi. Ransomware on yksi nopeimmin kehittyvistä kyberrikollisuuden muodoista, ja sen aiheuttamat taloudelliset ja toiminnalliset vahingot ovat kasvaneet vuosi vuodelta. Tässä artikkelissa tarkastelemme eri kyberkiristystapoja ja niiden logiikkaa hieman lähemmin.

Mikä Ransomware?

Ransomware eli kiristysohjelma on haittaohjelma, joka lukitsee uhrin tiedostot sekä yrityksen järjestelmät ja palvelimet ja vaatii rahallista korvausta niiden vapauttamiseksi. Tällainen lunnasvaatimushyökkäys on kyberrikollisille helppo toteuttaa jos yrityksessä on laiminlyöty esimerkiksi ohjelmistojen päivitykset, vahvat salasanat, monivaiheinen tunnistautuminen, henkilöstön koulutus tai etäyhteydet ilman suojausta. 

Kyberkiristyksen kolme yleisintä lähestymistapaa

Vuosien saatossa myös verkossa käytettävät kiristysmenetelmät ovat muuttuneet. Nykyään kyberrikolliset eivät tyydy pelkkään tietojen salaamiseen, vaan uhrin paineita maksaa lunnaat lisätään monella tapaa.

1. Yksinkertainen kiristys: Pelkkä salaus 

Perinteisessä mallissa hyökkääjä salaa tiedostot ja vaatii maksua salauksen   purkuavaimesta. Lunnaiden maksukaan ei välttämättä takaa tietojen palautumista. Pelkästään tällainen hyökkäys voi riittää lamauttamaan yrityksen toiminnot. Hyökkäykseen varautuneella yrityksellä on aina offline-varmuuskopiot sekä selkeä palautussuunnitelma yritykseen kohdistuvan hyökkäyksen varalta.

2. Kaksinkertainen kiristys: Salaus ja tietojen varastaminen

Tässä mallissa rikolliset eivät ainoastaan salaa tiedostoja, vaan myös varastavat ne ennen salauksen käynnistämistä. Jos yritys kieltäytyy maksamasta, tiedot uhataan julkaista verkossa. Tämä lisää painetta, sillä kyse ei ole enää pelkästä tuotannon pysähtymisestä, vaan uhkana on myös mainehaitta ja tietosuojarikkomukset. Lisäksi yrityksen asiakas- ja kumppanuussuhteet ovat vaarassa.

3. Kolminkertainen kiristys: Salaus, tietojen varastaminen ja asiakkaiden kiristäminen

Tämä toimintamalli on uusin ja vaarallisin kiristysmuoto. Tässä mallissa tiedostot salataan, tiedot varastetaan ja kaiken lisäksi rikolliset ottavat yhteyttä yrityksen asiakkaisiin tai kumppaneihin ja vaativat heiltä rahaa, jotta heidän tietonsa eivät vuoda. Joissain tapauksissa rikolliset tarjoavat ”poistopalvelua”, eli käytännössä maksamalla lisää uhri voi estää tietojen julkaisemisen. Tämä tekee hyökkäyksestä huomattavasti tuhoisamman. Hyvänä esimerkkinä juuri tällaisesta kiristyksestä on julkisuudessakin esillä ollut Vastaamo-case.

Miksi tämä on todellinen uhka?

Ransomware on vakava ja jatkuvasti kehittyvä uhka kaikenkokoisille organisaatioille ja yrityksille. Kiristyshaittaohjelmat eivät ole enää pelkkä tekninen ongelma, vaan niistä on kehittynyt yrityksille vakavasti otettava liiketoimintariski. Kiristyksestä voi seurata miljoonien eurojen tappiot, vakava mainehaitta ja jopa oikeudellisia seuraamuksia. GDPR:n aikakaudella tietovuoto voi johtaa sakkoihin ja asiakkaiden luottamuksen menettämiseen. Lisäksi EU:n NIS2-direktiivi ja CER-asetus (Critical Entities Resilience) velvoittavat kriittisiä toimijoita parantamaan kyberturvallisuutta ja varautumista. Tämä tarkoittaa, että yrityksillä on lakisääteinen vastuu suojata järjestelmänsä ja varmistaa toiminnan jatkuvuus. 

Miten varautua ja toimia?

Varautuminen on paras puolustus. Yrityksen olisi hyvä miettiä ainakin nämä asiat etukäteen:

Varmuuskopiot: Säilytä kopiot offline-tilassa ja testaa palautus säännöllisesti.

Koulutus: Toteuta huijausviestiharjoituksia ja opeta henkilöstö tunnistamaan riskit.

Monivaiheinen tunnistautuminen: Ota käyttöön kaikissa kriittisissä järjestelmissä.

Käyttöoikeuksien hallinta: Vähimmäisoikeusperiaate ja salattujen tunnusten hallinta.

Poikkeamien tunnistus: Valvo verkkoa ja päätelaitteita, jotta hyökkäykset havaitaan ajoissa.

Toimintasuunnitelma: Mieti etukäteen toimenpiteet jos kiristyshaittaohjelma iskee. Kuka vastaa, miten viestitään, ja milloin viranomaisille ilmoitetaan?

Mihin kehitys on menossa?

Kiristyshyökkäyksien määrä tulee lisääntymään. Kyberrikolliset voivat vuokrata kiristysohjelmia palveluna, mikä madaltaa kynnystä rikolliseen toimintaan ja lisää hyökkäysten määrää. Massahyökkäyksien sijaan tullaan näkemään yhä kohdistetumpia hyökkäyksiä esimerkiksi teollisuuteen, terveyspalveluihin, kunnallisiin palveluihin ja jopa yksittäisiin henkilöihin. Kohteeksi kelpaavat kaiken kokoiset yritykset ja toimijat. Hyökkäyksistä tulee myös vaikeammin havaittavia, kun rikolliset hyödyntävät automaatiota ja AI-työkaluja haavoittuvuuksien etsimiseen.

Kiristys muuttuu henkilökohtaisemmaksi

Tekoäly ja erityisesti suuret kielimallit (LLM) tuovat kiristyshaittaohjelmiin uuden ulottuvuuden. Kun haittaohjelma saa pääsyn käyttäjän tiedostoihin se voi analysoida kaiken käyttöönsä saaman sisällön: Sähköpostit, dokumentit, kuvat ja muistiinpanot. Analyysin perusteella tekoäly voi luoda yksilöllisiä kiristysviestejä, jotka perustuvat uhrille arkaluonteisiin tietoihin. Automatisoituna tällainen tekoälyyn pohjautuva prosessi voi käsitellä tuhansia uhreja samanaikaisesti ja kiristyksen laajuus kasvaa samalla kun se muodostuu henkilökohtaiseksi. Tulevaisuudessa kyse ei ole pelkästään datan menetyksestä vaan maineen lisäksi henkilön yksityisyyden uhasta. Kiristys on muuttunut psykologiseksi uhaksi. Viitteitä tällaiseen kiristysmuotoon on jo olemassa. Yksilöity kiristys, joka sisältää uhrille arkaluontoista tietoa on tehokas tapa saada uhri maksamaan. Tulevaisuudessa kiristys ei ole pelkkä tekninen uhka, vaan se on psykologinen ase, jonka kohteeksi voi joutua kuka tahansa.

Miten psykologiseen kiristykseen voi varautua?

  • Vahvista pääsynhallintaa ja käytä monivaiheista tunnistautumista
  • Salaa arkaluonteiset tiedot ja segmentoi verkko
  • Seuraa poikkeavaa datankäsittelyä ja käytä tekoälypohjaisia havaitsemisratkaisuja
  • Laadi kriisiviestintäsuunnitelma ja harjoittele toimintaa etukäteen

Cyber Audit Company voi auttaa

Me Cyber Audit Companyssa tarjoamme kybertarkastuksia eli hyökkäyspinta-alan kartoituksia sekä henkilöstön koulutuksia juuri näihin haasteisiin. Koulutuksissamme keskitytään käytännön harjoitteluun. 

Esimerkkejä tietoturvakoulutuksistamme:

  • Phishing-harjoitukset: Aidon kaltaisia huijausviestejä turvallisessa ympäristössä
  • Pelillistetyt oppimistuokiot: Lyhyitä ja motivoivia koulutushetkiä
  • Sosiaalisen manipuloinnin tunnistaminen: Miten huijarit ajattelevat?
  • Toimintaohjeet poikkeustilanteissa: Mitä tehdä, kun epäilee tietomurtoa?
  • Ajankohtaiset case-esimerkit

Koulutukset ovat nopeita, vuorovaikutteisia ja helposti omaksuttavia. Koulutuksemme myös päivittyvät jatkuvasti, jotta ne pysyvät alati muuttuvien kyberhaasteiden tasalla.

Tietoturva-asioissa ei kannata aikailla!

Tietoturva ei enää ole pelkkä IT-osaston murhe, vaan koko yrityksen ja sen jokaisen työntekijän yhteinen vastuu. Lisäksi NIS2 ja CER tekevät tästä yrityksille entistä tärkeämpää. Kyberturvallisuus ei ole enää yritykselle vapaaehtoista, vaan siihen liittyy lakisääteisiä velvoitteita.Me Cyber Audit Companylla autamme sinua. Ota yhteyttä ja jatketaan keskustelua yrityksesi henkilöstön koulutuksesta ja muista ennakointitoimenpiteistä. Rakennetaan yhdessä tietoturvallisempi arki!

Takaisin
Cyber Audit Company

Tilaa kybertarkastus yrityksellesi jo tänään!

Yrityksen tietoturva-asioissa ei kannata aikailla. Ota yhteyttä, niin kartoitetaan yrityksenne tilanne!

Ota yhteyttä ja tilaa!