Sama ryhmittymä on aiemmin ilmoittautunut myös konepajayhtiö Wärtsilään tehdyn verkkohyökkäyksen tekijäksi. WithSecuren tutkimusjohtajan mukaan ryhmä käyttää haittaohjelmansa pohjana koodia, joka on peräisin venäläiseltä kyberrikollisryhmältä.
Suomen Tietotoimistoon STT:hen kohdistunut verkkohyökkäys oli kiristyshaittaohjelmalla tehty isku, jonka tekijäksi on ilmoittautunut LV-niminen kyberrikosryhmittymä. Ryhmä julkisti tiedon myös pimeässä Tor-verkossa torstaina.
Vastaavan ryhmittymän on kerrottu olleen tekijänä myös konepajayhtiö Wärtsilään heinäkuussa kohdistuneessa hyökkäyksessä. LV-ryhmittymä pääsi Ylen mukaan käsiksi Wärtsilän laskutus- ja ostotietoihin, ja ryhmä mainitsee Wärtsilän myös blogissaan Tor-verkossa.
Hyökkääjä on esittänyt lunnasvaatimuksen STT:lle. Vastaavan päätoimittajan Minna Holopaisen mukaan vaateeseen ei ole vastattu. Lähdesuoja ei myöskään ole hänen mukaansa vaarantunut.
STT:hen kohdistui verkkohyökkäys viime viikolla perjantain vastaisena yönä, ja hyökkäyksen vuoksi STT ajoi alas osan järjestelmistään varotoimena. Hyökkäys huomattiin ja keskeytettiin vielä, kun se oli käynnissä.
LV-ryhmittymä väittää pimeässä verkossa julkaisemassaan blogikirjoituksessa, että ryhmittymä olisi saanut kaiken STT:n tiedon haltuunsa. STT:n toimitusjohtajan Kimmo Laaksosen mukaan väite ei pidä paikkaansa.
– Pystyimme pysäyttämään hyökkäyksen yöllä, ja olemme koko ajan kyenneet jatkamaan uutistoimintaamme, Laaksonen sanoo.
Helsingin poliisi tutkii asiaa tietomurtona ja tietojärjestelmän häirintänä. Esitutkinta käynnistettiin tällä viikolla.
Motiivina raha
Kiristyshaittaohjelmalla tehdyssä iskussa hyökkääjä esimerkiksi murtautuu kohteen tietojärjestelmään ja yrittää sinne ujutetun ohjelman avulla kaapata mahdollisimman paljon kohteelle arvokasta tietoa. Tämän jälkeen hyökkääjä lukitsee tiedon ja vaatii lunnaita, jotta uhri saa tiedot takaisin käyttöönsä.
Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskuksesta kerrotaan, että kuluneen puolen vuoden aikana keskukselle on ilmoitettu 15 hyökkäyksestä, joissa epäillään käytetyn kiristyshaittaohjelmaa. Kyberturvallisuuskeskukselle ei kuitenkaan välttämättä ilmoiteta kaikista hyökkäyksistä.
Tietoturva-asiantuntija Aino-Maria Väyrynen Kyberturvallisuuskeskuksesta kertoo yleisellä tasolla, että vuodon kohdetta voidaan kiristää myös sillä, että yrityksen arkaluontoista tietoa julkistetaan. Toiminnan motiivina on Väyrysen mukaan raha ja verkkoympäristössä kiinnijäämisen riski on pienempi kuin fyysisessä rikollisuudessa.
– Emme missään nimessä voi suositella, että rikollista liiketoimintaa tuetaan. Lunnaita ei pitäisi lähteä missään nimessä maksamaan, Väyrynen sanoo.
LV:llä kohteita eri puolelta maailmaa
Suomalaisen tietoturvayhtiö WithSecuren tutkimusjohtaja Mikko Hyppönen kertoo, että LV-ryhmä on noussut kyberturvallisuusalalla tietoisuuteen viime kuukausina. Ryhmä on julkaissut Tor-verkon blogissaan tietoja yrityksistä, jotka ovat joutuneet sen kiristyshaittaohjelmahyökkäyksen, alan termeillä lunnastroijalaishyökkäyksen kohteeksi.
Wärtsilän ja STT:n lisäksi blogissa on muutama kymmen yhteisöä eri puolilta maailmaa esimerkiksi irlantilaisesta insinööritoimistosta hongkongilaiseen hammaslääkärijärjestöön.
– On aika ilmeistä, että nämä Suomeen osuneet tapaukset ovat enemmän sattumaa kuin mitään suunnattua hyökkäystä Suomea kohtaan, Hyppönen sanoo.
Hänen mukaansa LV on yksi ryhmä muiden vastaavien joukossa.
Tietoturvayhtiö Secureworks on kertonut, että LV käyttää Ransomware-haittaohjelmansa pohjana samaa koodia kuin REvil-nimellä kulkenut ryhmä käyttää omassa ohjelmassaan.
Hyppönen vahvistaa saman. LV:n taustoista tiedetään kuitenkin toistaiseksi Hyppösen mukaan vähän.
– REvil on venäläinen ryhmä, joten oletetaan, että tämäkin on venäläinen tai ainakin venäläisjohtoinen. Siitä ei kyllä ole mitään oikeita todisteita, hän sanoo ja lisää, että ala on hyvin verkostoitunut.
Hyppönen: Suomea suojellut tuuri
Kyberturvallisuuskeskuksen tietoturva-asiantuntijoiden mukaan kiristyshaittaohjelmalla tehtyjä hyökkäyksiä voivat tehdä ryhmittymät itse, mutta ne voivat olla myös tilaustyönä tehtyjä. Keskus ei kommentoi sitä, voiko hyökkäysten takana olla valtiollinen toimija.
– On toimijoita, jotka aktiivisesti itse etsivät uhrejaan, sanoo tietoturva-asiantuntija Juho Halttunen Kyberturvallisuuskeskuksesta.
WithSecure-yhtiön Hyppönen kertoo, että valtiollisen toimijan mahdollisuutta on vaikea näyttää toteen. Niin sanotut lunnastroijalaishyökkäykset ovat tällä hetkellä hänen mukaansa suurin yksittäinen yritysten tietoturvaongelma, joskaan ei ainoa.
Rikollinen liiketoiminta on alalla kasvanut merkittävästi viime vuosina, ja Hyppösen mukaan palveluita on myös paljon tuotteistettu.
– Tähän bisnekseen voisi kuka tahansa lähteä mukaan, vaikka ei osaisi koodata riviäkään.
Kiristyshaittaohjelmalla tehdyt hyökkäykset ovat olleet maailmalla Hyppösen mukaan yleisiä, mutta Suomessa tilanne on ollut niiden suhteen parempi, ainakin tähän saakka.
– Suomea näitä lunnastroijalaishyökkäyksiä vastaan ei ole mitenkään erityisesti suojellut todennäköisesti mikään muu kuin tuuri, sanoo Hyppönen.