Uutiset

Petja ei tullut yksin: kiristyshaittaohjelma iskee kymmenen sekunnin välein

Tiistaina maailmalle levinnyt Petja-kiristyshaittaohjelma ja toukokuussa säikäyttänyt WannaCry olivat vain jäävuoren huippu.

Joka kymmenes sekunti, jossakin päin maailmaa, internetistä tullut kiristyshaittaohjelma hyökkää pahaa-aavistamattoman käyttäjän tietokoneelle. Yksittäinen yritys taas joutuu hyökkäyksen kohteeksi 40 sekunnin välein.

Arvion on esittänyt tietoturvayritys Kaspersky, ja se koskee viime vuoden kolmatta neljännestä. Lienee perusteltua olettaa, että ongelma on enemmänkin yleistynyt kuin vähentynyt.

Kaspersky oli varsin hyvin ajan hermolla, kun se nimesi vuotta 2016 käsittelevän katsauksensa nimellä The ransomware revolution – kiristyshaittaohjelmien vallankumous. Viimeistään tiistain uutisten jälkeen voidaan sanoa tämän haittaohjelmatyypin olevan julkisessa keskustelussakin valtavirtaa.

Jo huhtikuussa oma F-Securemme varoitti, että mikäli tarvittaviin toimiin ei ryhdytä, kiristyshaittaohjelmien määrä ainakin kaksinkertaistuu kuluvana vuonna. Yhtiön mukaan vielä vuonna 2012 kaikki liikkeellä olevat haittaohjelmat kuluivat yhteen ja samaan perheeseen. Viime vuonna perheitä olikin sitten jo 193.

Käytännössä kiristyshaittaohjelmat (engl. ransomware) jakautuvat kahteen tyyppiin. On Petjan kaltaisia ohjelmistoja, jotka salaavat kovalevyllä olevat tiedostot, ja sitten ohjelmia, jotka estävät tietokoneen käyttämisen blokkaamalla näytön. Näytölle tulee esimerkiksi ”viranomaisten” viesti, jossa kerrotaanetokoneen kovalevyllä olevan laittomia tiedostoja.

Molemmissa tapauksissa käyttäjän tulee maksaa lunnaat kiristäjälle virtuaalivaluutta Bitcoinilla. Jos valtiot puuttuisivat sen käyttöön ankarasti, tulisi kiristämisestäkin hankalaa. Tosin mikään ei estä käyttämästä muita vastaavia teknologioita – kannattaa painaa mieleen esimerkiksi nimi Ethereum.

Bitcoinin nousu on kuitenkin vain yksi ransomwaren yleistymisen syy. Kiristyshaittaohjelmien suosio on kasvanut siksikin, että niiden käyttäminen ei vaadi omaa ohjelmointitaitoa, vaan sopivan ohjelman voi ostaa. Internetin pimeällä puolella on myös erilaisia rakennustyökaluja, joissa ostaja voi valita haittaohjelmaansa haluamansa ominaisuudet yksinkertaisella rasti ruutuun -menetelmällä.

Tiistain Petja-hyökkäyksen motiivin arvellaan olleen rahan sijaan mahdollisimman suuren vahingon tuottaminen. Mikäli näin, voidaan aina miettiä, minkälainen toimija on hyökkäyksen tekijä (tai vähintäänkin toimeksiantaja).

Tyypillinen kiristysohjelma on kuitenkin usein silkkaa bisnestä ja kaupankäyntiä.

Symantecin arvion mukaan keskimääräinen lunnasvaatimus oli vuoden 2015 lopulla vajaat 300 dollaria, ja vuodessa se oli noussut 679 dollariin, osittain Bitcoinin itsensä kurssinousun vuoksi. Missään tapauksessa lunnaita ei kannata maksaa, sillä eihän ole mitään takuita että rikollinen purkaa salauksen lupauksensa mukaisesti. Ja jos kukaan ei suostu liiketoimintaan kyberrikollisten kanssa, bisneskin kuihtuu kysynnän ja tarjonnan lakien mukaisesti.

Ei ole välttämättä mitenkään sattumaa, että tiistainen Petja-hyökkäys alkoi Ukrainassa: Kasperskyn tutkimusten mukaan kovalevyn tiedot salaavista kiristyshaittaohjelmista noin kolme neljäsosaa on peräisin Venäjältä tai ainakin venäjää puhuvilta henkilöiltä tai ryhmiltä. Tämä voi johtua yksinkertaisesti siitä, että Venäjällä on paljon osaavia koodareita.

Vaikuttaisi myös siltä, että juuri venäläiset kyberrikolliset ovat kokeneita kiristäjiä. Vuosien 2009-11 välillä Venäjällä ja naapurimaissa koettiin pienimuotoinen ransomware-epidemia, ja Kasperskyn hypoteesin mukaan nämä samat rikolliset ovat bitcoin-valuutan keksimisen jälkeen taas aktivoituneet.

Asiasanat

Uusimmat