F-Securen Mikko Hyppönen: Vastaamo-kiristäjä on tehnyt ison virheen – ”Vähän kuin sormenjälki” - Tietoturva - Ilta-Sanomat

F-Securen Mikko Hyppönen: Vastaamo-kiristäjä on tehnyt ison virheen – ”Vähän kuin sormenjälki”

Hyppönen uskoo, että virhe voi johtaa tekijän jäljille.

F-Securen Mikko Hyppönen kertoo vakuuttuneensa siitä, että Psykoterapiakeskus Vastaamoa kiristystapauksessa kansainvälisen rikollisryhmän sijasta asialla on yksittäinen ihminen.­

27.10.2020 22:10

Psykoterapiakeskus Vastaamoa kiristävää verkkorikollista voi olla vaikea saada kiinni, mutta nyt hän on tehnyt ison virheen, F-Securen tutkimusjohtaja Mikko Hyppönen kertoo Ilta-Sanomille.

Aivan, hän. Hyppönen kertoo hiljattain vakuuttuneensa siitä, että kansainvälisen rikollisryhmän sijasta asialla on yksittäinen ihminen.

– Tämä on tietysti spekulaatiota. Faktoja meillä ei ole.

Kun Vastaamon kiristystapaus tuli julkisuuteen viime viikon keskiviikkona, Hyppösen ensimmäinen veikkaus oli, että kyseessä on suomalainen hyökkääjä. Sitten kun hän seurasi hyökkääjän kommunikointia, näytti siltä, että kyseessä on ammattimaisen ryhmän jäsen, joka tekee tällaista usein. Ehkä hän antoi sellaisen mielikuvan tarkoituksella.

Kiristäjän toiminta vaikutti Hyppösen mukaan rutinoituneelta, eivätkä kansainväliset verkkorikollisryhmät ole mitään satua.

Mikko Hyppönen esittelemässä maaliskuussa 2017 maailman ensimmäisen viruksen koodia, jossa on mm. mainittu tekijöiden osoite ja puhelinnumero.­

Nyt Hyppönen kertoo huomanneensa, että kiristäjä vaikuttaa hermoilevan. Mielikuva ammattimaisesta ryhmästä on karissut, hän sanoo.

Syitä tähän on ainakin kaksi. Ensimmäinen on kiristäjän yhtäkkinen strategian vaihto: ensiksi hän yritti kiristää suoraan Vastaamoa, mutta kun se ei näyttävästi tuottanut tulosta, rikollinen siirtyi kiristämään Vastaamon yksittäisiä asiakkaita.

Toiseksi kiristäjä on tehnyt Hyppösen mukaan suuren virheen. Kiristäjän salatussa tor-verkossa ylläpitämä verkkosivu oli pystyssä keskiviikon ja torstain, mutta perjantaina aamuyöstä sinne ilmestyi yhtäkkiä kymmenen gigatavun kokoinen tiedosto. Se ehti olla sivustolla noin seitsemisen tuntia, Hyppönen sanoo.

– Sitten koko sivusto meni nurin. Hyökkääjä otti koko sivuston pois linjoilta, koska todennäköisesti huomasi tehneensä virheen. Mitä ilmeisemmin tässä kymmenen gigan paketissa oli koko potilastietokanta.

Kymmenen gigatavua on kuitenkin liian iso tiedosto sisältääkseen pelkkää tekstiä, kuten potilastietoja ja -kirjauksia, Hyppönen sanoo.

– Emme tiedä mitä loput on, mutta tämä oli hänen tärkein kruununjalokivensä, eli se, millä hän yrittää kiristää.

Kukaan sivustolla käynyt tuskin ehti ladata koko tiedostoa, mutta palasia ainakin. Hyppönen arvelee, että joukossa voi olla myös jotakin, joka johtaa tekijän jäljille.

– Kyllä sieltä jotain apua ainakin tulee. Siellä on esimerkiksi hyökkääjän kirjoittamia ohjelmanpätkiä. Ohjelmoijan tyyli on vähän kuin sormenjälki ja siitä voi päätellä yhtä sun toista, tosin nyt ei vielä tarkkaan tiedetä mitä etsitään.

Hyppönen kertoi arvioistaan kiristäjästä ensin tiistaina A-Studiossa.

Osion tuoreimmat

Luitko jo nämä?