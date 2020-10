Kaksoiskiristysten uskotaan lisääntyvän. Tähän asti kiristyksen pääkohde on ollut yleensä kohteeksi joutunut organisaatio.

Israelilais-amerikkalainen tietoturvayhtiö Check Point uskoo Psykoterapiakeskus Vastaamon kaltaisten kaksoiskiristysten yleistyvän.

Vastaamon tapauksessa kiristettäväksi joutui ensin yritys ja sen jälkeen sen asiakkaat.

– Se, että verkkorikolliset lisäävät hyökkäyksiinsä yhden kiristystason lisää, on muodostunut trendiksi tämän vuoden ensimmäisellä neljänneksellä. Yleensä kiristys kohdistuu kuitenkin kohdeyritykseen. Tässä tapauksessa murtautujat ovat ottaneet kohteekseen myös yrityksen asiakkaat uhaten heitä yksityisten terapiaistuntojen sisällön vuotamisella. Tämä on merkittävä – ja huolestuttava – käänne, kommentoi Check Pointin uhkatiedustelun johtaja Lotem Finkelsteen tiedotteessa.

Yhtiön mukaan yli 500 organisaatiota viikossa joutuu jonkinlaisen kaksoiskiristyksen kohteeksi. Luvut ovat elokuusta tähän päivään. Jatkossa on lupa odottaa yhä enemmän kiristyksiä, jotka kohdistuvat sekä yrityksiin että näiden asiakkaisiin.

Check Point sanoo tiedotteessaan Vastaamolta varastettuja tietoja olevan ainakin 2 000. Tähän asti kuultu luku on 40 000, ja on syytä uskoa sen olevan lähempänä totuutta. Todennäköisesti kiristäjältä lipsahti virheen takia osa tietokannasta muille pimeän verkon käyttäjille. Joissakin yhteyksissä tänä lukuna on mainittu 2 000.

Verkkokiristyksissä on tapahtunut merkittäviä käänteitä viime aikoina. Aiemmin kiristyshaittaohjelmat ottivat käyttäjien tiedot panttivangeiksi ja salakirjoittivat ne. Tiedot luvattiin vapauttaa lunnaita vastaan.

Nyt on nähty haittaohjelmia, jotka tietojen salakirjoittamisen lisäksi kopioivat tiedot talteen kiristäjille, mikä mahdollistaa tietojen julkaisemisella kiristämisen. Tällainen haittaohjelma on muun muassa Suomessakin merkittävää tuhoa aiheuttanut Sodinokibi.

Sodinokibi-kiristysohjelmaa toimitetaan palveluna, eli tietty määrä koodaajia ylläpitää ja kehittää sitä. Tekijät myyvät ohjelmaa verkkorikollisille, jotka levittävät ohjelman kohteisiinsa. Ohjelman tekijät saavat maksuksi tietyn osan kiristystuotoista. Toimintamalli tunnetaan nimellä ransomware-as-a-service (palveluna myyty kiristysohjelma). Viruskoodia analysoineiden tietoturvayhtiöiden mukaan sen koodi on erittäin taitavasti kirjoitettua.

Vastaamoon kohdistetussa iskussa alkuperäisiä tietoja ei tuhottu, vaan hyökkääjä pyrki peittämään jälkensä mahdollisimman hyvin. Murto tapahtui marraskuussa 2018 ja sen mahdollistaneet heikkoudet havaittiin toisen murron havaitsemisen yhteydessä maaliskuussa 2019. Ensimmäisen murron havaitsemisajankohta on yhä epäselvä.