Artikkeli on julkaistu TIVIA-blogissa 5.3.2015
Kiristys ja lunnaiden vaatiminen on luottamukseen ja hyvään asiakaspalveluun perustuvaa bisnestä, jonka ansaintalogiikka on pelottavan nerokas.
Työmeiliin tipahtaa viesti, jonka liitteenä oleva tiedosto näyttää laskulta – mikäköhän se on? Klikkaat tiedoston auki, mutta laskua ei näy. Sen sijaan huomaat myöhemmin, että muut tiedostosi eivät enää avaudu. Mitä tapahtui?
Näytölle ponnahtava ikkuna paljastaa, että koneesi joutui lunnasohjelman uhriksi. Saat tiedostot purkavan salausavaimen, jos maksat 150 euron lunnaat. Viestin painoksi näytölle ehkä ilmestyy demokin, joka toden totta avaa muutaman tiedoston. Mutta kaikki muut pysyvät salattuina.
Tehokas bisnesmalli
Ransomware-ohjelmiin perustuva toiminta on tekijöilleen kannattavaa bisnestä. Lunnaiden vaatiminen salatuiksi muuttuneista tiedostoista on pelottavan hyvää liiketoimintaa. Jos kymmenestä miljoonasta lähetetystä meilistä 10 000 käyttäjää suostuu vaatimukseen, rikollisten tilille kilahtaa 1,5 miljoonaa. Haittaohjelman tekemiseen löytyy työkalut verkon hämäriltä kauppapaikoilta. Haittaohjelman käyttöaika tosin on melko lyhyt ennen kuin virustorjuntaohjelmat onnistuvat tunnistamaan sen, mutta tulos voi olla silti erittäin kannattava. Lisäksi kiinni jäämisen riski on pieni – toiminta tapahtuu tyypillisesti TOR-verkkojen kautta ja maksut suoritetaan bitcoineina.
Vaikka rikollisille ei ikinä pitäisi maksaa lunnaita, se saattaa alkaa tuntua houkuttelevalta vaihtoehdolta. Uhrin – usein yrityksen – näkökulmasta 150 euron lunnasvaatimus on pikkusumma tiedostojen menettämiseen ja selvitystyöhön käytettyyn aikaan verrattuna. Ja siihen kiristyshaittaohjelmien liiketoimintalogiikka perustuukin. Lisäksi lunnaiden maksun houkuttelevuuteen on panostettu toisellakin tavalla: asiakaspalvelu on hyökkäyksen uhrien käytössä 24/7, ja kyselyihin vastataan nopeasti. Kyse on luottamusbisneksestä, ja lunnaiden vaatijat haluavat, että heihin luotetaan. Purkuavaimen on toimittava ja palvelun on oltava laadukasta ja jouhevaa, jotta ala voi kasvaa.
Kiristysbisnes ei ole riskitöntä maksajalle
Kiristyshaittaohjelman uhriksi joutunut ei voi tietää, minkälaisen tahon kanssa on tekemisissä. Voi olla, että salausavain toimii ja purkaa lukituksen. Tai sitten joku on tehnyt muunnelman, joka ei toimi alan sääntöjen mukaan. Jotta uhriparalla ei olisi liikaa aikaa vaivata päätään asialla, uhkavaatimuksissa on usein aikaraja. Jos et maksa lunnaita vaikkapa 48 tunnin kuluessa, tiedostosi ovat menneet.
Hyökkäyksiltä voi suojautua
Ransomwarelta voi kuitenkin suojautua varautumalla uhkaan ennakolta. Esimerkiksi toipumissuunnitelman tekeminen, varmuuskopioinnista huolehtiminen, pääsyoikeuksien rajaaminen ja koko henkilöstön hyvät tietoturvakäytännöt pienentävät mahdollisuutta, että rikollinen pääsisi vetämään pidemmän korren.