All posts by kaikkee

Tietojenkalastelua Postin nimissä

Postin nimissä kalastetaan pankkitietoja. Tietojenkalastelusivua jaetaan
ainakin tekstiviestin avulla.

Kyberturvallisuuskeskuksen tietoon on tullut uusi
tietojenkalastelukampanja, jossa teemana on Postiin saapunut paketti.
Tietojenkalastelusivun linkkiä on levitetty ainakin tekstiviestillä,
jonka sisältö on näyttänyt paketin saapumisilmoitukselta. Viestissä
olevan linkin takaa käyttäjää houkutellaan kirjautumaan sivustolle
verkkopankkitunnusten avulla. Tekstiviestin lähettäjänä on nähty ainakin
“Live Posti 1”. Muista levitystavoista ei tässä vaiheessa ole tietoa.

Jos olet syöttänyt omat pankkitietosi tietojenkalastelusivulle, tulee
välittömästi olla yhteydessä omaan pankkiin.

Haittaohjelma lähetetty yli 15000 suomalaiseen sähköpostiosoitteeseen – Kyberturvallisuuskeskus ottaa yhteyttä hyökkäyskampanjan kohteisiin

Socket RAT -haittaohjelman levityskampanja on Keskusrikospoliisin
tutkinnassa. Viestien levityksessä on käytetty suomalaisia murrettuja
sähköpostitilejä.

Viestintäviraston Kyberturvallisuuskeskuksen ja Keskusrikospoliisin
selvitysten perusteella etäohjattava ja tietojen varastamiseen
soveltuvaa Jsocket RAT -haittaohjelmaa on levitetty käyttäen suomalaisia
murrettuja sähköpostitilejä yli 15000 suomalaiseen
sähköpostiosoitteeseen. Haittaohjelma ei ollut ainakaan sen
levityshetkellä hyvin tunnistettu yleisimmin käytetyissä
virustorjuntaohjelmistoissa. Haittaohjelma pystyy myös estämään
virustorjuntaohjelmistojen toiminnan.

Levityskampanja on Keskusrikospoliisin tutkinnassa. Haittaohjelman
levityksessä on käytetty suomalaisia murrettuja sähköpostitunnuksia.
Tunnusten kautta lähetettyjen haittaohjelmia sisältäneiden viestien
vastaanottajat ovat viranomaisten tiedossa. Kyberturvallisuuskeskus
lähettää maanantaina 25.1.2016 toimintaohjeita sisältävän
sähköpostiviestin kampanjan kohteiksi joutuneisiin sähköpostiosoitteisiin.

Haittaohjelman lähetyksessä käytettyihin murrettuihin
sähköpostiosoitteisiin ei ole tarvetta olla yhteydessä. Osoitteiden
omistajatahot ovat käynnistäneet osaltaan tarvittavat suojaustoimenpiteet.

*Kyberturvallisuuskeskuksen lähettämän sähköpostin sisältämät
toimintaohjeet:*

Otsikko: Viestintäviraston varoitus haitallisesta sähköpostista

Hei!

Viestintäviraston Kyberturvallisuuskeskuksen tietoon on tullut,
että te olette saattaneet vastaanottaa haittaohjelman
sisältävän sähköpostin.

Viesti on osa laajaa haittaohjelman levityskampanjaa, jossa
kohteena on ollut noin 15000 suomalaista käyttäjää.
Keskusrikospoliisi tutkii tapausta.
Teille mahdollisesti saapuneen sähköpostin otsikko on <>
ja se on lähetetty <>. Viestiä ei tule yrittää avata.

Toimintaohje:
*************
-Jos ette löydä sähköpostilaatikosta yllämainittua viestiä,
virustorjunta on todennäköisesti estänyt viestin toimituksen teille.
Asia ei vaadi teiltä jatkotoimenpiteitä.
-Jos ette ole avanneet viestiä, tuhotkaa viesti sitä avaamatta.
Tässä tapauksessa yhteydenottoa poliisiin ei tarvita.
-Jos olette avanneet viestin sisältäneen liitetiedoston, ottakaa
yhteyttä Keskusrikospoliisiin alla olevien ohjeiden mukaisesti.

Kiristyshaittaohjelma TeslaCrypt leviää sähköpostitse

Kiintolevyt ja verkkolevyt salaava edistynyt kiristyshaittaohjelma
TeslaCrypt leviää haitallisten sähköpostiliitteiden välityksellä. Viime
aikoina TeslaCryptiä on tavattu paljon myös Suomessa.

Tiedot salaava kiristyshaittaohjelma uhkaa myös Suomessa

Viime päivinä Euroopan alueella, myös Suomessa, on havaittu kehittyneen
TeslaCrypt-kiristyshaittaohjelman levittämistä haitallisten
sähköpostiliitteiden välityksellä. Mikäli käyttäjä avaa liitteenä
zip-tiedoston sisällä olevan .js-tiedoston, käyttäjän koneelle latautuu
TeslaCrypt-haittaohjelma murrettujen verkkosivujen kautta.

TeslaCrypt käyttää vahvaa salausmenetelmää, eikä salausta ole
mahdollista purkaa ilman salaukseen käytettyä avainta. Rikolliset
vaativat lunnaita avaimen sisältävän palautustyökalun luovuttamiseksi.

Tarkista, suodata ja varmuuskopioi

Kyberturvallisuuskeskus suosittelee seuraavia toimenpiteitä
kiristyshaittaohjelmilta suojautumiseksi:

1. *Tarkista huolellisesti saamasi sähköpostiviestit*, ennen kuin avaat
niiden liitteitä. TeslaCrypt-kiristyshaittaohjelmia levittäneissä
viesteissä on havaittuja tunnusmerkkejä on lueteltu tämän artikkelin
loppupuolella.
*

*

2. Mikäli mahdollista/, /*tarkasta sähköpostijärjestelmästänne* onko
näihin tunnistetietoihin viittaavia viestejä lähetetty
organisaationne sähköpostiosoitteisiin.
3. Mikäli mahdollista, *suodata tai ohjaa karanteeniin
sähköpostijärjestelmästänne* tunnistetietoja vastaavat sähköpostit.
* Sähköpostisuodattimissa ja sähköpostien
haittaohjelmaskannereissa on havaittu hankaluuksia tunnistaa
tiedostot haitallisiksi .js-tiedoston obfuskoinnista johtuen.
* Varotoimenpiteenä voi ohjata karanteeniin sähköpostiviestit,
joissa liitteenä on .js-tiedoston sisältävä .zip-tiedosto.
4. *Varmuuskopioi *tiedostosi säännöllisesti ja säilytä ne erillään
tietokoneesta. Tarkista varmuuskopion palautuksen toimivuus.

Älä maksa lunnaita, ota yhteyttä Kyberturvallisuuskeskukseen

*Pyydämme olemaan yhteydessä Kyberturvallisuuskeskukseen mahdollisissa
tartuntatapauksissa sekä havainnoista.*

Mikäli TeslaCrypt on onnistunut salaamaan tiedostot, on suositeltavaa
palauttaa tiedostot mahdollisuuksien mukaan varmuuskopioista.
TeslaCryptin versiosta riippuen tästä salaukseen käytetystä avaimesta
saattaa jäädä kopio myös Windows-käyttöjärjestelmän sisälle. Tällöin
tiedostojen palauttaminen saattaa olla mahdollista ilman lunnaiden
maksua. Tämä vaatii avaimen löytämistä sekä erityistyökalun käyttöä.

*Lunnaiden maksu ei ole suositeltavaa*, sillä tämä lisää rikollisten
mielenkiintoa levittää tällaisia kirityshaittaohjelmia. Ei ole myöskään
mitään takuita siitä, että tiedostot saisi takaisin lunnaiden maksamisen
jälkeen. Kyberturvallisuuskeskuksen tiedossa on useita tällaisia tapauksia.

Näin tunnistat TeslaCrypt-haittaviestit

Toistaiseksi havaituissa TeslaCryptiä levittäneissä sähköposteissa on
havaittu seuraavanlaisia tunnistetietoja:

*Liitetiedostot:*

* Liitetiedosto nimeltä /”love.zip”/ jonka sisällä on tiedosto nimeltä
/”info.js”/
* Liitetiedosto /”img.zip”/ jonka sisällä on tiedosto nimeltä /”img.js”/
* Liitetiedosto nimeltä /”live.zip”/ tai /”statement.zip” /
* /Liitetiedosto nimeltä “part1.zip”/
* Liitetiedoston nimi on muotoa /”*etunimi*_resume_*neljä
numeroa*.zip” (esim. “maribeth_resume_7996.zip”)/
* Liitetiedoston nimi on muotoa /”task*10 numeroa*.zip” /(esim/.
“task0000261520.zip”/)
* Liitetiedoston nimi on muotoa //
“invoice_*8 numeroa
//
/*_copy_.zip” /(esim./”invoice_85773314_copy_.zip”/)
* Liitetiedostojen nimi voi olla muukin ja niiden sisällä on aina
haitallinen .js-tiedosto.

*Viestin otsikko*

* Viestin otsikkona (Subject) on viestin lähetysajanhetken aikaleima
muotoa /”11/29/2015 //4:30:09 pm”/
* Viestin otsikkona on /”//
invoice from passion beauty supply ltd”
/
* /
Viestin otsikkona on “your ticket order #*10 numeroa* approved”
esim. “your ticket order #0000889687 approved”
/

/

/
/
/
*Pyydämme olemaan havainnoista yhteydessä Kyberturvallisuuskeskukseen
erityisesti, jos viesteissä esiintyy uudenlaisia tiedostonimiä tai
otsikkoja.*

Kyberrikoksista jää kiinni — rikoksista kannattaa ilmoittaa

Keskusrikospoliisi tiedotti 7.12. saaneensa valmiiksi esitutkinnan
vuodenvaihteessa 2014–2015 tapahtuneista palvelunestohyökkäyksistä,
joiden kohteina oli suomalaisia pankkeja. Kyberrikoksistakin kannattaa
ilmoittaa poliisille. Ilmoitus on ainoa tapa saada tekijät vastuuseen.

Kyberrikosten tutkimista pidetään monesti vaikeana, sillä rikosten
tekijöiden on mahdollista väärentää ja hävittää monia tekojensa jälkiä.
Tekijöiden saaminen vastuuseen ei kuitenkaan ole mahdotonta, sillä
taitavakin rikollinen tekee virheitä. Rikosilmoitus on silti välttämätön
edellytys rikoksen tutkimiselle.

Vaikka kaikkia rikoksia ei saada heti ratkaistua, rikosilmoituksen
tekeminen tuoreeltaan kannattaa. Tässäkin tapauksessa vuodenvaihteen
palvelunestohyökkäyksiä tutkiessa poliisi löysi todisteita muista
samojen henkilöiden tekemiksi epäillyistä kyberrikoksista. Kun
rikoksista on ilmoitettu heti niiden tapahduttua, saa poliisi kerättyä
luotettavampaa todistusaineistoa ja voi myös torjua rikoksia.

Tekijöiksi epäillyt henkilöt ovat nuoria. Voi epäillä, etteivät he
voimiensa tunnossa ole käsittäneet tekojensa vakavuutta.
Isossa-Britanniassa samankaltainen tapaus on lokakuussa tapahtunut
teleoperaattori TalkTalkin asiakastietoihin kohdistunut tietomurto. Sen
tekijöiksi epäillyt ovat pääosin alle parikymppisiä brittejä.

Viestintäviraston Kyberturvallisuuskeskus osallistui vuodenvaihteen
palvelunestohyökkäysten selvittämiseen ja torjumiseen yhteistyössä
pankkien, poliisin, teleyritysten ja muiden CERT-toimijoiden kanssa.