Kiristyshaittaohjelma- eli ransomware-hyökkäykset ovat energiayhtiöiden ja kriittisen infrastruktuurin suurin kyberriski maailmanlaajuisesti. Vihamielisen toiminnan tunnistamisen jo hyökkäyksen valmisteluvaiheessa tulisi olla häiriöiden ja niiden leviämisen estämiseksi aina kyberturvallisuusstrategian ytimessä.
Hiljattainen Vmware-palvelimiin suunnattu ESXiArgs-kiristysohjelmahyökkäys ravisteli yrityksiä kaikkialla maailmassa. Tämä laaja kyberhäiriö korosti riskiä, jolle jokainen yritys altistuu toimitusketjunsa kautta, ja osoitti lisäksi, että ajatus 100-prosenttisesta turvallisuudesta on menneen talven lumia.
Yksi syy tähän on, että ulkopuolisia palveluita ja toimittajia käyttävien yritysten turvallisuuteen jää aina aukko, koska tietoturvaratkaisut eivät ole enää niiden omissa käsissä. Itse asiassa yritykset eivät voi koskaan olla täysin varmoja, miten niiden käyttämä ohjelma tai laite on suojattu – tai onko sitä suojattu. Tämä pätee etenkin kriittisen infrastruktuurin ja teollisuuden komponentteihin ja tuotantoverkkoihin (operational technology, OT), joiden tietoturvaominaisuudet ovat yhä puutteellisia tai ne perustuvat insecure by design -toteutuksiin, joiden nollapäivähaavoittuvuudet odottavat löytäjäänsä. Samaan aikaan haittaohjelmien muodostamia uhkia voi olla jopa yli 247 miljoonaa vuodessa.
Eivätkö kiristysohjelmat ole vain IT-verkkojen ongelma?
Järjestelmäintegraatiot, (I)IoT-sovellukset sekä OT- ja IT-verkkojen integraatio altistavat turvattomat teollisuuden järjestelmät ja komponentit IT-maailmasta tutuille uhkille. OT-järjestelmät ovatkin vähintään yhtä haavoittuvaisia kuin IT-järjestelmät.
Tämän valossa teollisuusyritykseen kohdistuva ransomware-hyökkäys vaikuttaa suurella todennäköisyydellä myös sen tuotantoprosesseihin. Etenkin kriittisen infrastruktuurin kohdalla (yhteiskunnalliset, poliittiset) seuraukset voivat olla tuhoisia. Tammikuussa 2023 Anonymous-hakkeriryhmään kytkeytyvä GhostSec ilmoitti pystyneensä salaamaan teollisuuden verkossa toimineen etäpäätelaitteen (remote terminal unit, RTU) tiedostot. Tällainen kehitys tekee OT-verkkoihin kohdistetuista ransomware-hyökkäyksistä todellisen uhkan.
Eivätkö ransomware-hyökkäykset ole liian nopeita havaittaviksi?
Ransomware-hyökkäysten vaikutuksia pidetään lähes välittöminä. Kaikki tietokoneet vain lakkaavat yhtäkkiä toimimasta, eikä dataa pysty käyttämään. Käsitys saattoi menneisyydessä pitää paikkansakin, kun tietokoneelle saastutetulla sähköpostiviestin liitteellä toimitettu haittaohjelma alkoi saman tien salata koneen tiedostoja.
Nykyään ransomware-hyökkäykset ovat kehittyneempiä. Kiristyshaittaohjelma voi olla myös mato, joka leviää koneesta toiseen ja kommunikoi komentopalvelimen kanssa, jolla on julkinen IP-osoite. Tällaisen strategian avulla hyökkääjä pystyy suunnittelemaan hyökkäyksen tarkasti ja optimoimaan sen tuoton. Hyökkääjä voi
- ladata muita työkaluja salasanojen murtamiseksi
- ladata yhtiön dataa ja analysoida sen, käyttää sitä kiristämiseen tai myydä sen pimeillä markkinoilla (jos neuvottelut epäonnistuvat)
- tutkia verkkoa muiden uhkien hyödyntämiseksi
- tartuttaa mahdollisimman monta laitetta ennen salauksen laukaisemista.
Valmisteluvaihe voi kestää päiviä tai jopa kuukausia,
ja sen aikana tunkeilijan havaitsemisjärjestelmällä on mahdollisuus havaita hyökkääjän valmistelutoimet etenkin hyökkäysketjun alkuvaiheissa tiedustelun ja tunkeutumisen laajentamisen aikana. Varhainen havaitseminen pohjautuu OT-järjestelmän näkyvyyteen ja antaa mahdollisuuden pysäyttää hyökkäys ennen järjestelmä- palveluhäiriöiden syntymistä.
Kerromme tämän blogipostauksen pian julkaistavassa toisessa osassa, miten OT-järjestelmän valvonta ja poikkeavuuksien tunnistaminen auttavat tunnistamaan ransomware-hyökkäykset.