Tekikö REvil maailman kannattavimman verkkohyökkäyksen? Kaseya-iskun vahingot alkavat selvitä - Tietoturva - Ilta-Sanomat

Kauppoja sulkeneen iskun vahingot alkavat selvitä – maailman kannattavin verkko­­hyökkäys?

Jopa 1500 yritystä ympäri maailman kärsii edelleen amerikkalaisyhtiöön kohdistuneesta kiristysohjelmaiskusta.

Kyberhyökkäyksen kohteeksi joutuneet Kaseya-palveluntarjoajan toiminnot eivät ole vieläkään palautuneet. Vaikutukset näkyvät ympäri maailman.

6.7. 9:57

REvil-verkkorikollisryhmän amerikkalaiseen pilvipalveluntarjoaja Kaseyaan kohdistama laaja kyberhyökkäys jatkuu. Kaseyan palvelimet ja ohjelmistot ovat edelleen alhaalla, Kaseya kertoo sivuillaan.

Miamissa pääkonttoriaan pitävä Kaseya on ohjelmistoyritys, joka tarjoaa asiakkailleen SaaS-ratkaisuja eli pilvipalvelujen kautta toimivia ohjelmistoja. Näihin kuuluvat muun muassa erilaiset järjestelmien hallinta- ja etäkäyttöratkaisut.

Kyberisku kohdistui Kaseyan VSA-ohjelmistoon, joka on järjestelmien seuranta- ja hallintatyökalu, jota käytetään muun muassa ohjelmistopäivitysten tekemiseen. Alihankintaketjun toisessa päässä on paljon kaupan alan yrityksiä, joilla ei ole omaa it-osastoa.

Lue lisää: Massivinen kyber­hyökkäys – rikollis­liiga väittää lukinneensa miljoona tieto­konetta, vaatii kymmenien miljoonien lunnaita

Hyökkäys alkoi perjantaina 2.7. Se tehtiin käyttämällä nollapäivähaavoittuvuutta eli tietoturva-aukkoa, joka ei ole yleisessä tiedossa ja johon ei ole korjausta.

Kaseya avasi eilen niukkaa ja osittain harhaanjohtavaa tiedotuslinjaansa. Aiemmin yhtiö puhui ”hyvin pienestä määrästä asiakkaita”. Se jätti kuitenkin mainitsematta, että sen asiakkaina on palveluntarjoajia, joilla puolestaan on omia asiakkaita.

Tuoreemmassa viestinnässään Kaseya myönsi, että sen asiakkaista on uhreja noin 60. Koska Kaseya on palveluntarjoajien palveluntarjoaja, alihankintaketjun toisessa päässä on jopa 1500 uhriksi joutunutta yritystä. Kaseyan toimitusjohtaja Fred Voccola sanoi Reutersille antamassaan haastattelussa, että uhreja on viidellä mantereella.

Niihin kuuluvat muun muassa ruotsalaisen ruokakauppaketju Coopin 800 myymälän kassakoneet sekä suomalaisen TietoEVRYn Ruotsin-toiminnot. Uudessa-Seelannissa puolestaan isku kohdistui koulujen ja lastentarhojen järjestelmiin.

Viestittelyssään Reutersin kanssa nimetön REvilin edustaja kutsui iskua kouluihin ”vahingoksi”, mutta ruokakauppojen sulkemista ”bisnekseksi”.

Hakkeriryhmä sanoo saastuttaneensa iskulla ainakin miljoona tietokonetta. Salakirjoitettujen ja lukittujen laitteiden ruudulla on näytetty lunnasvaatimusta. Ryhmä on esittänyt darknetissä sijaitsevassa blogissaan 70 miljoonan dollarin bitcoineina maksettavan lunnasvaatimuksen, jolla se antaisi työkalun kaikkien uhrien järjestelmien avaamiseksi.

Voccola ei halunnut kommentoida Reutersin kysymystä siitä, harkitseeko Kaseya murtautujille maksamista.

F-Securen tutkimusjohtaja Mikko Hyppönen arveli Twitterissä, että tapauksesta saattaa tulla kaikkien aikojen kannattavin kiristysohjelmaisku.

REvilin toimintatapoihin on aiemmin kuulunut uhrin tietojen salakirjoittamisen lisäksi niiden varastaminen. Ei ole tiedossa, onko näin tapahtunut myös tällä kertaa.

REvil ei ole päivittänyt darknetissä olevaa blogiaan lunnasvaatimuksensa jälkeen. REvilin iskettyä huhtikuussa Applen alihankkija Quanta Computeriin, liigan 50 miljoonan dollarin lunnasvaatimus katosi sen verkkosivuilta Applen puututtua peliin.

Lue lisää: Maailmanluokan tuhoa: Tällainen on pelätty venäläinen kiristys­jengi

Kaseyan ohjelmiston käytännöt ovat herättäneet kummastusta tietoturvatutkijoiden keskuudessa. Sophos kertoo, että toimiakseen kunnolla Kaseyan ohjelmisto on edellyttänyt virussuojauksen pois päältä kytkemistä joissakin järjestelmän osissa.

Kaseya sanoo työskentelevänsä parhaillaan palvelimiensa palauttamiseksi verkkoon. Yhtiö lupaa asiakkaille liiketoiminnan jatkamisen mahdollistavaa päivitystä 24 tunnin kuluttua siitä, kun sen ohjelmistot ovat lähteneet toimimaan.

Viimeisimpien arvioiden mukaan palveluja saatettaisiin käynnistää ensi yönä Suomen aikaa. Kaikki toiminnot eivät kuitenkaan ole asiakasyrityksille käytettävissä.

Artikkeliin liittyviä aiheita

Osion tuoreimmat

Luitko jo nämä?