Mitä ovat kiristysohjelmat?
Lue lisää kiristysohjelmista ja siitä, miten ne toimivat ja miten voit suojata itsesi ja yrityksesi tämäntyyppisiltä kyberhyökkäyksiltä.
Kiristysohjelman määritelmä
Kiristysohjelma on haittaohjelmatyyppi, joka uhkaa uhria tuhoamalla kriittisen tärkeitä tietoja tai järjestelmiä tai estämällä niiden käytön, kunnes lunnassumma on maksettu. Aiemmin useimmat kiristysohjelmien kohteina olivat henkilöt, mutta viime aikoina ihmisten ohjaamat kiristysohjelmat, joiden kohteina ovat organisaatiot, ovat muodostuneet suuremmaksi ja vaikeammin estettäväksi ja poistettavaksi uhaksi. Ihmisten ohjaamien kiristysohjelmien avulla hyökkääjäryhmä hankkii pääsyn organisaation yritysverkkoon. Jotkin tämänkaltaiset hyökkäykset ovat niin monimutkaisia, että hyökkääjä käyttävät haltuunsa saamia sisäisiä taloudellisia asiakirjoja lunnassumman asettamisessa.
Kiristysohjelmahyökkäykset uutisissa
Valitettavasti maininnat kiristysohjelmauhista ovat nykyään yleisiä uutisissa. Viimeaikaiset korkean profiilin kiristysohjelmahyökkäykset ovat kohdistuneet kriittiseen infrastruktuuriin, terveydenhuoltoon ja IT-palvelujen tarjoajiin. Hyökkäykset ovat muuttuneet laajemmiksi ja niiden vaikutukset arvaamattomammiksi. Seuraavassa on katsaus joihinkin kiristysohjelmahyökkäyksiin ja siihen, miten ne ovat vaikuttaneet organisaatioihin:
- Maaliskuussa 2022 Kreikan postijärjestelmä joutui kiristysohjelman uhriksi. Hyökkäys häiritsi tilapäisesti postinjakelua ja vaikutti rahoitustapahtumien käsittelyyn.
- Yksi IIntian suurimmista lentoyhtiöistä joutui kiristysohjelmahyökkäyksen kohteeksi toukokuussa 2022. Tapaus johti lentojen viivästymisiin ja peruutuksiin sekä satojen matkustajien jäämiseen jumiin.
- Suuri henkilöstöhallinnon yritys joutui kiristysohjelmahyökkäyksen kohteeksi joulukuussa 2021, jolloin sen pilvipalvelua käyttäville asiakkaille tarkoitettu palkanlaskentajärjestelmä ja poissaolotietojärjestelmä altistuivat.
- Toukokuussa 2021 eräs Yhdysvaltain polttoaineputkilinjasto sulki palvelunsa estääkseen uudet murrot sen jälkeen, kun kiristysohjelmahyökkäys oli altistanut tuhansien sen työntekijöiden henkilökohtaiset tiedot. Vaikutukset nostivat bensiinin hintaa koko itärannikolla.
- Saksalainen kemikaalien jakeluyritys kärsi kiristysohjelmahyökkäyksestä huhtikuussa 2021. Yli 6 000 henkilön syntymäpäivät, henkilötunnukset ja ajokorttinumerot sekä myös joitakin lääkinnällisiä tietoja varastettiin.
- Maailman suurin lihantoimittaja joutui kiristysohjelmahyökkäyksen kohteeksi toukokuussa 2021. Kun yritys oli tilapäisesti poistanut sivustonsa käytöstä ja keskeyttänyt tuotannon, se päätyi maksamaan 11 miljoonan USD:n lunnaat Bitcoin-valuuttana.
Miten kiristysohjelmat toimivat?
Kiristysohjelmahyökkäyksillä pyritään saamaan haltuun henkilön tai organisaation tietoja tai laitteita, jotta voidaan vaatia rahaa. Aiempina vuosina käyttäjän manipulointiin perustuvat kiristysohjelmat olivat yleisimpiä, mutta nyt rikolliset ovat alkaneet suosia ihmisten ohjaamia kiristysohjelmia, koska niiden avulla voidaan saada valtavia maksuja.
Käyttäjän manipulointiin perustuvat kiristysohjelmat
Näissä hyökkäyksissä käytetään tietojen kalastelua. Se on huijausmuoto, jossa hyökkääjä tekeytyy aidoksi yritykseksi tai sivustoksi ja pyrkii saamaan uhrin napsauttamaan linkkiä tai avaamaan sähköpostiviestin liitteen, joka asentaa kiristysohjelman uhrin laitteeseen. Hyökkäykseen liittyy usein hälytyksenomainen viesti, joka ohjaa uhrin toimimaan pelon vuoksi. Kyberrikollinen voi esimerkiksi tekeytyä tunnetuksi pankiksi ja lähettää uhrille sähköpostiviestin, jossa kerrotaan, että uhrin tili on jäädytetty epäilyttävien toimintojen takia, ja kehotetaan napsauttamaan viestissä olevaa linkkiä ongelman käsittelyä varten. Kun uhri napsauttaa linkkiä, kiristysohjelma asennetaan.
Ihmisten ohjaamat kiristysohjelmat
Ihmisten ohjaama kiristysohjelma aloittaa toimintansa yleensä varastettujen tilin tunnistetietojen avulla. Kun hyökkääjät ovat päässeet organisaation verkkoon tällä tavoin, he määrittävät varastetun tilin avulla laajemmat käyttöoikeudet omaavien tilien tunnistetiedot ja etsivät tietoja ja liiketoiminnan kannalta kriittisen tärkeitä järjestelmiä, jotka tarjoavat mahdollisuuksia suureen taloudelliseen hyötyyn. Sen jälkeen he asentavat kiristysohjelman näihin luottamuksellisiin tai liiketoiminnan kannalta kriittisen tärkeisiin järjestelmiin esimerkiksi salaamalla tiedostot, jolloin organisaatio ei voi käyttää niitä, ennen kuin se maksaa lunnassumman. Kyberrikollisilla on tapana pyytää maksu kryptovaluutoissa sen anonyymiyden takia.
Nämä hyökkääjät ottavat kohteekseen organisaatioita, jotka voivat maksaa suurempia lunnassummia kuin keskimääräinen yksityishenkilö, ja vaativat usein miljoonia dollareita. Näin suureen suojausrikkomukseen liittyvien suurten riskien takia monet organisaatiot mieluummin maksavat lunnassumman kuin ottavat riskin luottamuksellisten tietojensa vuotamisesta tai kyberrikollisten uusista hyökkäyksistä, vaikka maksaminen ei takaakaan kummankaan riskin poistumista.
Kun ihmisten ohjaamilla kiristysohjelmilla tehdyt hyökkäykset ovat lisääntyneet, niiden takana olevat rikolliset ovat organisoituneet. Monet kiristysohjelmatoimijat käyttävät nyt itse asiassa kiristysohjelma palveluna -mallia. Tämä merkitsee, että joukko rikollisia kehittäjiä luo varsinaisen kiristysohjelman ja palkkaa sitten muita kyberrikoskumppaneita murtautumaan organisaation verkkoon ja asentamaan kiristysohjelman. Saadut rahat jaetaan kahden ryhmän kesken sovitussa suhteessa.
Kiristysohjelmahyökkäysten tyypit
Kiristysohjelmien päämuotoja on kaksi: salaavat kiristysohjelmat ja lukitsevat kiristysohjelmat.
Salaavat kiristysohjelmat
Kun henkilö tai organisaatio joutuu salaavalla kiristysohjelmalla tehdyn hyökkäyksen uhriksi, hyökkääjä salaa uhrin luottamuksellisia tietoja tai tiedostoja niin, ettei uhri voi käyttää niitä ennen lunnassumman maksamista. Kun uhri on maksanut, hänelle luvataan salauksenpurkuavain, jonka avulla hän voi taas käyttää tiedostoja tai tietoja. Vaikka uhri maksaisi lunnassumman, ei ole kuitenkaan takeita siitä, että kyberrikollinen lähettää salauksenpurkuavaimen tai palauttaa hallinnan. Doxware-ohjelma on salaavien kiristysohjelmien muoto, joka salaa uhrin henkilökohtaisia tietoja ja uhkaa paljastaa ne julkisesti. Yleensä tarkoituksena on nöyryyttää tai häpäistä uhri maksamaan lunnassumma.
Lukitsevat kiristysohjelmat
Lukitsevan kiristysohjelman avulla tehdyssä hyökkäyksessä uhri lukitaan pois omasta laitteestaan ja estetään hänen kirjautumisensa. Uhrille esitetään laitteen näytössä lunnasvaatimusviesti, jossa kerrotaan, että uhrin laite on lukittu, ja annetaan ohjeet lunnassumman maksamiseen lukituksen poistamista varten. Tämäntyyppiseen kiristysohjelmaan ei yleensä liity salausta, joten kun uhri saa uudelleen pääsyn laitteeseensa, luottamukselliset tiedostot ja tiedot säilyvät.
Kiristysohjelmahyökkäykseen vastaaminen
Jos joudut kiristysohjelmahyökkäyksen uhriksi, sinulla on mahdollisuuksia tilanteen parantamiseen ja ongelman poistamiseen.
Ole varovainen lunnassumman maksamisen osalta
Vaikka voi olla houkuttelevaa maksaa lunnassumma sen toivossa, että ongelma poistuisi, ei ole mitään takeita siitä, että kyberrikolliset pitäisivät sanansa ja antaisivat sinulle tietojesi käyttöoikeuden. Tietoturva-asiantuntijat ja lainvalvontaviranomaiset suosittelevat, etteivät kiristysohjelmahyökkäysten uhrit maksaisi vaadittua lunnassummaa, koska se voi jättää uhrit alttiiksi tulevaisuuden uhkille ja tukea aktiivisesti rikollista toimialaa. Jos olet jo maksanut, ota heti yhteys pankkiisi, sillä se voi ehkä pysäyttää maksun, jos olet maksanut luottokortilla.
Eristä tartunnan saaneet tiedot
Heti, kun voit, eristä altistuneet tiedot, jotta kiristysohjelma ei leviäisi verkkosi muihin alueisiin.
Suorita haittaohjelmien torjuntaohjelma
Monet kiristysohjelmahyökkäykset voidaan käsitellä asentamalla haittaohjelmien torjuntaohjelma, joka poistaa kiristysohjelman. Kun olet valinnut hyvämaineisen haittaohjelmien torjuntaratkaisun, kuten Microsoft Defenderin, pidä se ajantasaisena ja aina käynnissä, jotta käytössä on suojaus uusimpia hyökkäyksiä vastaan.
Ilmoita hyökkäyksestä
Ilmoita hyökkäyksistä paikalliselle tai valtiolliselle lainvalvontaviranomaiselle. Yhdysvalloissa näitä ovat FBI:n paikallinen kenttätoimisto, IC3 tai Secret Service. Vaikka tämä vaihe ei todennäköisesti ratkaise välittömiä huoneaiheitasi, se on tärkeä, sillä nämä viranomaiset seuraavat ja valvovat aktiivisesti erilaisia hyökkäyksiä. Kun annat niille tiedot kokemuksestasi, tiedot voivat olla arvokkaita kyberrikollisen tai -rikollisryhmän löytämisessä ja syytteen nostamisessa.
Kiristysohjelmien torjunta
Koska kiristysohjelmahyökkäykset ovat yleisempiä kuin koskaan ja suuri osa ihmisten tiedoista on digitaalisessa maailmassa, hyökkäyksen vaikutukset ovat pelottavia. Onneksi on olemassa monia tapoja pitää digitaalinen elämäsi omanasi ja estää muiden pääsy siihen. Seuraavassa on kuvattu toimia, joilla saat mielenrauhaa ennakoivan kiristysohjelmien torjunnan ansoista.
Asenna haittaohjelmien torjuntaohjelma
Paras suojaustapa on estäminen. Luotetun haittaohjelmien torjuntapalvelun, kuten Microsoft Defender for Endpointin, Microsoft Defender XDR:n tai Microsoft Defender for Cloudin, avulla voidaan havaita ja estää monia kiristysohjelmahyökkäyksiä. Kun käytät haittaohjelmien torjuntaohjelmaa, laitteesi skannaa ensin kaikki tiedostot tai linkit, jotka yrität avata, mikä auttaa niiden turvallisuuden varmistamisessa. Jos tiedot tai sivusto on haitallinen, haittaohjelmien torjuntaohjelma antaa hälytyksen ja ehdottaa, ettei kohdetta avata. Nämä ohjelmat voivat myös poistaa kiristysohjelmat laitteesta, joka on jo saanut tartunnan.
Järjestä säännöllistä koulutusta
Pidä säännöllisen koulutuksen avulla työntekijät ajan tasalla siinä, miten tietojenkalastelun ja muiden kiristysohjelmahyökkäysten merkit voidaan tunnistaa. Siten voit opettaa heille turvalliset työkäytännöt ja myös heidän henkilökohtaisten laitteidensa turvallisen käytön.
Siirry käyttämään pilvipalveluja
Kun siirrät tietosi pilvipohjaiseen palveluun, kuten Azuren pilvivarmuuskopiointipalveluun tai Azuren Blob-objektilohkosäilön varmuuskopiointiin, voit helposti varmuuskopioida tietoja turvallista säilytystä varten. Jos tietosi joskus altistuvat kiristysohjelmalle, nämä palvelut auttavat sen varmistamisessa, että palautus on sekö välitöntä että kattavaa.
Ota käyttöön Zero Trust -suojausmalli
Zero Trust -malli arvioi kaikkien laitteiden ja käyttäjien riskit, ennen kuin niiden sallitaan käyttää sovelluksia, tiedostoja, tietokantoja ja muita laitteita. Tämä vähentää todennäköisyyttä sille, että haitallinen identiteetti tai laite voisi käyttää resursseja ja asentaa kiristysohjelmia. Esimerkiksi monimenetelmäisen todentamisen, Zero Trust -suojausmallin yhden osan, käyttöönoton on osoitettu vähentävän identiteettihyökkäysten tehokkuutta yli 99 prosentilla. Voit arvioida organisaatiosi Zero Trust -suojausmallin kypsyystason suorittamalla Microsoftin Zero Trust -suojausmallin kypsyystason arvioinnin.
Liity tietoja jakavaan ryhmään
Tietoja jakavat ryhmät, jotka ovat usein järjestäytyneet toimialoittain tai maantieteellisen sijainnin mukaan, kannustavat rakenteeltaan samanlaisia organisaatioita työskentelemään yhdessä kohti kyberturvallisuus ratkaisuja. Ryhmät myös tarjoavat organisaatioille erilaisia etuja, kuten tapausten käsittelyn palveluja, digitaalisen tutkimuksen palveluja, uusimpia uhkia koskevia uutisia ja julkisten IP-osoitealueiden ja toimialueiden valvontaa.
Ylläpidä offline-varmuuskopioita
Koska jotkin kiristysohjelmat yrittävät etsiä verkossa olevia varmuuskopioita ja poistaa ne, on hyvä ylläpitää luottamuksellisista tiedoista päivitettyä offline-varmuuskopiota, testata sitä säännöllisesti ja varmistaa, että se on palautuskelpoinen mahdollisen kiristysohjelmahyökkäyksen ilmetessä. Valitettavasti offline-varmuuskopion ylläpitäminen ei korjaa ongelmaa, jos olet joutunut salaavan kiristysohjelmahyökkäyksen uhriksi, mutta se voi olla tehokas työkalu lukitsevan kiristysohjelmahyökkäyksen aikana.
Pidä ohjelmistot ajantasaisina
Sen lisäksi, että pidät jonkin haittaohjelmien torjuntaratkaisun päivitettynä (kannattaa valita automaattiset päivitykset), lataa ja asenna kaikki järjestelmäpäivitykset ja ohjelmistojen korjaustiedostot heti, kun ne ovat saatavilla. Se auttaa minimoimaan suojaushaavoittuvuudet, joita kyberrikollinen voisi hyödyntää pyrkiessään pääsemään verkkoosi tai laitteeseesi.
Luo tapausten käsittelyn suunnitelma
Kodin hätäsuunnitelma poistumisteineen tulipalon varalta parantaa turvallisuutta ja valmistautuneisuutta. Samoin tapausten käsittelyn suunnitelman luominen kiristysohjelmahyökkäyksen uhriksi joutumisen varalta tarjoaa sinulle toiminnalliset vaiheet erilaisten hyökkäysskenaarioiden käsittelemiseen. Siten voit palauttaa normaalin ja turvallisen toiminnan mahdollisimman nopeasti.
Auta suojaamaan kaikki Microsoft Securityn avulla
Microsoft Sentinel
Hanki kokonaisnäkymä yritykseesi pilvipohjaisen suojaustieto- ja tapahtumienhallintaratkaisun (SIEM) avulla.
Microsoft Defender XDR
Suojaa päätepisteet, käyttäjätiedot, sähköposti ja sovellukset laajennetun havaitsemisen ja reagoinnin (XDR) avulla.
Microsoft Defender for Cloud
Suojaa monen pilvipalvelun ympäristösi ja hybridiympäristösi kehityksestä suoritukseen.
Microsoft Defender Threat Intelligence
Ymmärrä uhkatekijät ja niiden työkalut täydellisen, jatkuvasti päivitettävän Internet-kartan avulla.
Taistele kiristysohjelmia vastaan
Pysy uhkien edellä käyttämällä automaattista hyökkäysten keskeyttämistä ja niihin reagoimista Microsoft Securityn avulla.
Microsoftin digitaalisen suojauksen raportti
Tutustu nykyiseen uhkaympäristöön ja digitaalisen puolustuksen rakentamiseen.
Luo ohjelma kiristysohjelmia vastaan
Tutustu siihen, miten Microsoft loi Optimal Ransomware Resiliency State -tilan kiristysohjelmien eliminoimista varten.
Torju kiristysohjelmat käsikirjan avulla
Kerro ja visualisoi, mikä on kunkin käyttäjän rooli kiristysohjelmien torjumisprosessissa.
Usein kysytyt kysymykset
-
Valitettavasti lähes jokainen verkkoyhteyden käyttäjä voi joutua kiristysohjelmahyökkäyksen uhriksi. Henkilökohtaiset laitteet ja yritysten verkot ovat jatkuvasti kyberrikollisten kohteina.
Investoiminen ennakoiviin sovelluksiin, kuten uhilta suojautumisen palveluihin, on hyvä tapa estää kiristysohjelmia tarttumasta verkkoosi tai laitteisiisi. Siksi henkilöt ja organisaatiot, jotka käyttävät ennen hyökkäystä haittaohjelmien torjuntaohjelmaa ja muita suojausprotokollia, kuten Zero Trust -suojausmallia, joutuvat epätodennäköisimmin kiristysohjelmahyökkäysten uhreiksi.
-
Perinteiset kiristysohjelmahyökkäykset tapahtuvat, kun henkilö harhautetaan käyttämään haitallista sisältöä, kuten avaamaan tartunnan saaneen sähköpostiviestin tai siirtymään haitalliseen sivustoon, joka asentaa kiristysohjelman henkilön laitteeseen.
Ihmisten ohjaamalla kiristysohjelmalla tehdyissä hyökkäyksissä hyökkääjäryhmä ottaa kohteekseen organisaation luottamukselliset tiedot ja murtautuu niihin, yleensä varastettujen tunnistetietojen avulla.
Yleensä käyttäjän manipulointiin perustuvien kiristysohjelmien ja ihmisten ohjaamien kiristysohjelmien uhreille esitetään lunnasvaatimusviesti, jossa kerrotaan, mitä tietoja on varastettu ja mikä niiden palauttamisen hinta on. Lunnassumman maksaminen ei kuitenkaan takaa sitä, että tiedot todella palautetaan tai että rikkomukset voidaan estää tulevaisuudessa.
-
Kiristysohjelmahyökkäyksen vaikutukset voivat olla tuhoavia. Sekä henkilö- että organisaatiotasoiset uhrit voivat tuntea pakkoa maksaa suuret lunnaat ilman takeita siitä, että heidän tietonsa palautettaisiin heille tai ettei uusia hyökkäyksiä tapahtuisi. Jos kyberrikollinen vuotaa organisaation luottamuksellisia tietoja, sen maine voi tahraantua ja sitä voidaan pitää epäluotettavana. Vuodettujen tietojen tyypin ja organisaation koon mukaan tuhansia henkilöitä voi olla vaarassa joutua identiteettivarkauden tai muiden kyberrikosten uhriksi.
-
Kyberrikolliset, jotka tartuttavat uhrien laitteisiin kiristysohjelmia, haluavat rahaa. Heillä on tapana vaatia lunnaita kryptovaluuttoina niiden anonyymin ja jäljittämättömän luonteen takia. Käyttäjän manipulointiin perustuvassa kiristysohjelmahyökkäyksessä, joka kohdistuu henkilöön, lunnasvaatimus voi olla satoja tai tuhansia dollareita. Ihmisten ohjaamassa kiristysohjelmahyökkäyksessä, joka kohdistuu organisaatioon, lunnasvaatimus voi olla miljoonia dollareita. Näissä monimutkaisissa organisaatioihin kohdistuvissa hyökkäyksissä voidaan käyttää luottamuksellisia taloudellisia tietoja, joita kyberrikolliset ovat löytäneet verkkomurron aikana. Niiden pohjalta he voivat asettaa lunnasvaatimuksen, johon he uskovat organisaatiolla olevan varaa.
-
Uhrien tulisi ilmoittaa kiristysohjelmahyökkäyksistä paikalliselle tai valtiolliselle lainvalvontaviranomaiselle. Yhdysvalloissa näitä ovat FBI:n paikallinen kenttätoimisto, IC3, ja Secret Service. Tietoturva-asiantuntijat ja lainvalvontaviranomaiset suosittelevat, etteivät uhrit maksaisi mitään lunnaita. Jos olet jo maksanut, ota heti yhteys pankkiisi ja paikallisiin viranomaisiin. Pankkisi voi ehkä estää maksun, jos olet maksanut sen luottokortilla.
Seuraa Microsoftia