WannaCryn uusin inkarnaatio Petya aiheuttaa massiivista vahinkoa maailmalla. Tartunnan ensisijainen lähde näyttää olevan Ukrainassa käytössä oleva taloushallinnon softa, jota kautta Petya on levinnyt Ukrainaan ja kans.väl. yritysten kautta maailmalle.
Mitä luulette, onko kyseessä Venäjän Ukrainaan kohdistama kyberhyökkäys oheisvahinkoineen, vai venäläisen rikollisorganisaation rahankiristysoperaatio? Itse luulen että molempia, eikä näitä kahta varmaan voi nykyisin täysin erottaa toisistaan.
http://www.hs.fi/ulkomaat/art-2000005270111.html
Heikki Aittokoski HS, Anna-Mari Hänninen HS, Pauliina Jokinen HS, Mikko Paakkanen HS
Julkaistu: 27.6. 16:43 , Päivitetty: 28.6. 12:58
Kymmeniä maita on joutunut tiistaista alkaen verkkohyökkäyksen kohteeksi.
Tartuntalähteeksi on varmistumassa M.E.Doc-niminen kirjanpito-ohjelmisto, kertoi Viestintävirasto keskiviikkona. Tartunta käyttää hyväkseen Microsoftin Windows-käyttöjärjestelmässä olevaa haavoittuvuutta.
Microsoftin mukaanhttps://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/ tartunta on havaittu yli 60 maassa.
Viestintäviraston erityisasiantuntija
Ilkka Sovannonhttp://www.hs.fi/haku/?search-term=ilkka+sovannon mukaan tartunta on todennäköisesti lähtenyt leviämään kirjanpito-ohjelmistosta, joka on laajalti käytössä Ukrainassa esimerkiksi verojen maksussa.
”Tämä selittää pitkälti sitä, miksi uhreina on ollut paljon ukrainalaisia yrityksiä sekä isoja, monessa maassa toimivia yrityksiä, joilla on voinut olla toimintaa Ukrainassa.”
Verkkohyökkäyksen uhreina on ollut pääosin juuri suuria yrityksiä, ei kotikäyttäjien koneita. Kyseessä on Viestintäviraston mukaan Petya-kiristyshaittaohjelman uusi versio.
”Siitä ei ole vielä täyttä varmuutta, onko ollut lisäksi muita menetelmiä, jolla ohjelma on päässyt yhden yrityksen verkosta seuraavan yrityksen verkkoon, vai ovatko kaikki tartunnat liittyneet tämän kirjanpito-ohjelmiston käyttöön.”
Suomalaisyrityksistä ilmoituksia tartunnoista on tullut Viestintävirastoon edelleen ”pieni määrä, ei välttämättä edes kymmeniä”, kertoo Sovanto. Kohteina ovat olleet etenkin isot ja monissa maissa toimivat yritykset.
Sovannon tiedossa ei ole, että pelkästään kotimaassa toimiva yritys olisi joutunut kiristysohjelman kohteeksi. Ohjelma lukitsee saastuttamansa koneen ja vaatii tiedostojen avaamiseksi 300 dollaria bitcoin-virtuaalivaluuttana.
Viestintäviraston mukaan saastuneelle tietokoneella tulee tällainen viesti:
<img itemprop="url" src="
http://hs.mediadelivery.io/img/978/dcb44bd401ac4ae1beacd25e19f6d067.jpg" alt="Jumiutuneen tietokoneen ruutuun tulee viesti, jossa pyydetään rahaa salauksen purkamiseksi."> <meta itemprop="width" content="978"> <meta itemprop="height" content="581.54584">
Jumiutuneen tietokoneen ruutuun tulee viesti, jossa pyydetään rahaa salauksen purkamiseksi.
Petya-kiristyshaittaohjelma alkoi levitä maailmalla nopeasti tiistaina iltapäivällä, ja ilmoituksia tartunnoista tuli edelleen keskiviikkona aamulla Suomen aikaa. Yön aikana virus levisi muun muassa Australiaan, jossa ainakin suklaatehdas ilmoitti joutuneensa hyökkäyksen kohteeksi.
Suomeen hyökkäys ulottui Viestintäviraston mukaan tiistai-iltana, ja sitä ennen listalle päätyi esimerkiksi Yhdysvallat, jossa lääketeollisuusyritys Merck kertoi uutistoimisto AFP:n mukaan kamppailevansa kyberhyökkäystä vastaan.
Häiriötilanteista on kerrottu lukuisissa Euroopan maissa: ainakin Ukrainassa, Venäjällä, Saksassa, Britanniassa, Tanskassa, Ranskassa, Hollannissa ja Espanjassa.
Viestintäviraston Sovannon mukaan kansainvälisesti haittaohjelma levisi M.E.Doc-ohjelmiston kautta varsin nopeasti, ja tartunta pääsi aika tehokkaasti koneisiin, joihin sen oli mahdollista päästä.
”Tällä perusteella uskoisin, että suurin osa tartunnoista on jo tapahtunut, mutta varmuudella ei pysty vielä sanomaan, että ohjelma ei enää leviäisi.”
Ukrainassa hyökkäys näyttää kohdistuneen miltei koko valtiokoneistoon ja yhteiskunnan kannalta olennaisille toimialoille kuten energianjakeluun ja pankkeihin.
Haittaohjelma on levinnyt noin 80 yhtiöön, joista valtaosa on Ukrainassa, kertoi venäläinen tietoturvayhtiö Group-IB
blogissaanhttp://blog.group-ib.com/petya.
Britannian yleisradioyhtiö
BBC:nhttp://www.bbc.com/news/technology-40416611 mukaan tanskalainen rahtialan jätti Maersk on joutunut kohteeksi, samoin useat espanjalaisyritykset.
Euroopan suurimmassa satamassa, Hollannin Rotterdamissa useat konttiterminaalit ovat niin ikään olleet iskun kohteina, kertoi uutistoimisto Reuters.
Britanniassa uhrina on ainakin mainosalan jättiyritys WPP.
Brittilehti
Guardianinhttps://www.theguardian.com/world/2017/jun/27/petya-ransomware-attack-strikes-companies-across-europe käsiinsä saaman WPP:n sisäisen muistion mukaan yhtiön henkilökuntaa varoitettiin, että se on ”massiivisen globaalin haittaohjelmahyökkäyksen kohteena”. Työntekijöitä kehotettiin sulkemaan ja kytkemään irti kaikki laitteet, jotka käyttävät Windows-käyttöjärjestelmää.
Venäjällä puolestaan ainakin öljyjätti Rosneft ja teräsyhtiö Evraz ilmoittivat vakavista kyberhyökkäyksistä. Molemmat ovat toimialoillaan maailman suurimpia.
”Voimakas hakkerihyökkäys on kohdistettu yhtiön palvelimiin”, Rosneft kertoo.
Myös Intiassa on raportoitu kyberhyökkäyksestä.
Hyökkäyksessä käytetyn haittaohjelman arvioitu tiistaista lähtien olevan Petya-nimisen kiristysohjelman johdannainen. Haittaohjelman nimestä ja laadusta on kuitenkin esitetty myös muita näkemyksiä. Esimerkiksi tietoturvayhtiö Kasperskyn mukaan ohjelma toimii eri tavoin kuin Petya.
Useimpien asiantuntijoiden mukaan kyseessä on joka tapauksessa kiristyshaittaohjelma, joka muistuttaa Wannacry-nimistä haittaohjelmaa. Wannacry saastutti toukokuussa satojatuhansia tietokoneita ja aiheutti liki maailmanlaajuisen häiriötilanteen.
”Petya leviää samalla tavalla kuin Wannacry, käyttäen hyväkseen Windows-käyttöjärjestelmässä olevaa haavoittuvuutta”, kertoo tutkimusjohtaja
Mikko Hyppönen http://www.hs.fi/haku/?search-term=mikko+hypponentietoturvayhtiö F-Securesta.
”Käyttäjän ei edes tarvitse tehdä mitään”, Hyppönen sanoo. ”Verkossa oleva haavoittuva kone saastuu ilman käyttäjän toimia.”
Lukituksen poistamisesta kiristysohjelma vaatii rahaa.
Haittaohjelman uhriksi joutunut ukrainalainen mediayhtiö Kanava 24 kertoi saaneensa 300 dollarin ”lunnasvaatimuksen” bitcoin-valuuttana.
”Kukaan ei saa tiedostojasi takaisin ilman meidän dekryptauspalveluamme”, ukrainalaiskanavalta vaadittiin. Dekryptaus tarkoittaa tiedostojen lukituksen purkamista.
Sama uhkavaatimus ilmestyi Maerskin tietokoneisiin Rotterdamissa, Reuters kertoo.
<img itemprop="url" src="
http://hs.mediadelivery.io/img/978/9b9d76c1a21141aebee2d91082b75dc1.jpg" alt="Maersk-yhtiön internet-sivut olivat keskiviikkona poissa käytöstä."> <meta itemprop="width" content="978"> <meta itemprop="height" content="506.1579">
Maersk-yhtiön internet-sivut olivat keskiviikkona poissa käytöstä.
Keskiviikkoaamuna
The Guardianhttps://www.theguardian.com/world/2017/jun/27/petya-ransomware-attack-strikes-companies-across-europe -lehti kertoi kuitenkin, etteivät käyttäjät enää pysty vapauttamaan koneitaan, vaikka he haluaisivatkin maksaa haittaohjelman vaatiman summan.
Lehtitietojen mukaan maksun maksaneille luvataan vahvistussähköposti, jonka osoite on jo kuitenkin suljettu saksalaisen ylläpitäjän toimesta.
”Emme hyväksy alustamme väärinkäyttöä. Väärinkäyttö johtaa sähköpostitilin välittömään lukitsemiseen”, sähköpostiosoitteen sulkenut saksalainen Posteo kertoi julkaisemassaan blogikirjoituksessa.
<img itemprop="url" src="
http://hs.mediadelivery.io/img/978/5c9b9c8aaa964b6c9fcddce93d4d2ff2.jpg" alt="Ukrainan valtionpankin Oschadbankin maksuautomaatteja oli tiistaina epäkunnossa."> <meta itemprop="width" content="978"> <meta itemprop="height" content="671.35626">
Ukrainan valtionpankin Oschadbankin maksuautomaatteja oli tiistaina epäkunnossa. (KUVA: VALENTYN OGIRENKO / Reuters)
Tuntemattomien rikollisten uhreja ovat Ukrainassa olleet muun muassa Kiovan lentokenttä Boryspil, valtiollinen energiayhtiö Ukrenergo, useat liikepankit, maan suurin puhelinoperaattori sekä lentokonevalmistaja Antonov.
”Energianjakeluun tällä ei ole vaikutusta”, sanoi Ukrenergon tiedottaja Reutersin mukaan.
Myös Tšernobylin ydinturma-alueen säteilynmittausjärjestelmä on kokenut häiriöitä, kertoi AFP.
Tiistaina alkuillasta Kiovan lentokentän johtaja
Jevhen Dyhnehttp://www.hs.fi/haku/?search-term=jevhen+dyhne tiedotti, että lentoliikenne saattaa häiriytyä palvelunestohyökkäyksen takia.
Ukrainan hallituksen tietojärjestelmä niin ikään kaatui. Varapääministeri
Pavlo Rozenkohttp://www.hs.fi/haku/?search-term=pavlo+rozenko julkaisi Twitterissä kuvan virheilmoituksesta, joka ilmestyy näytöille.
Та-дам! Секретаріат КМУ по ходу теж "обвалили". Мережа лежить.
pic.twitter.com/B74jMsT0qshttps://t.co/B74jMsT0qs
— Rozenko Pavlo (@RozenkoPavlo)
June 27, 2017https://twitter.com/RozenkoPavlo/status/879677026256510976
Aiemmin tiistaina Ukrainan keskuspankki ilmoitti, että lukuisat liikepankit ja valtion- sekä yksityiset yritykset ovat joutuneet kyberhyökkäyksen kohteiksi. Keskuspankin mukaan häiriötilanteita aiheuttaa ”tuntematon virus”.
Ukrainan sisäministeriön lähde ilmoitti Reutersin mukaan, että meneillään oleva kyberhyökkäys on ”Ukrainan historian laajin”. Lähde epäili hyökkäyksen alkuperämaaksi Venäjää.
”Jo ensimmäinen analyysi osoittaa, että on mahdollista puhua venäläisistä sormenjäljistä”, sanoi Ukrainan kansallisen turvallisuusneuvoston johtoon kuuluva
Oleksandr Turtšynov http://www.hs.fi/haku/?search-term=oleksandr+turtsynovReutersin mukaan.
Ukraina ja Venäjä ovat vihamielisissä väleissä Ukrainan sodan takia. Venäjä on siinä käytännössä osapuoli.
