Suuryritysten joutuminen erilaisten kyberhyökkäysten kohteiksi ei ole uutta auringon alla. Tällä kertaa osui kuitenkin PC-harrastajia lähelle, sillä taiwanilaisen Gigabyten kerrotaan joutuneen RansomEXX-nimellä tunnetun rikollisjärjestön hyökkäyksen uhriksi.
Gigabyten kerrotaan joutuneen RansomEXX:n hyökkäyksen kohteeksi keskiviikon vastaisena yönä ja sen johdosta yhtiön on joutunut väliaikaisesti sulkemaan joitain järjestelmiään, mikä näkyi myös yhtiön verkkosivujen toiminnassa. Kiinalainen United Daily News kertoo Gigabyten varmistaneen myös virallisemmin, että he ovat olleet muutamia palvelimia koskeneen kyberhyökkäyksen kohteena.
Hyökkääjän identiteetin on selvittänyt Bleeping Computer. RansomEXX:llä kerrotaan olevan tapanaan jättää kryptaamiinsa laitteisiin lunnasvaatimuksen. Lunnasvaatimuksessa ohjataan uhri salaiselle verkkosivulle, jossa tämä voi varmistaa tiedostojen salauksen purun toimivan ennen mahdollisia neuvotteluita kiristäjien kanssa.
Bleeping Computer sai anonyymiltä lähteeltä käsiinsä yhden Gigabyten tapaukseen liittyvän sivun linkin ja otti sieltä kuvankaappauksen, sensuroiden sivuilta arkaluonteiset tiedot. Hyökkääjät kertovat ladanneensa Gigabyten palvelimilta yhteensä 112 Gt tai tarkemmin 120 971 743 713 tavua dataa, jotka se aikoo julkaista, mikäli lunnasvaatimuksiin ei suostuta. Datan kerrotaan sisältävän muun muassa huomattavasti salassapitosopimusten alaisia tiedostoja American Megatrendsiltä, AMD:lta ja Inteliltä. Todisteiksi hyökkääjät ovat julkaisseet samaisella sivulla kuvankaappaukset neljästä esimerkkitiedostosta, jotka Bleeping Computer on nähnyt.
Lähde: Bleeping Computer
Jaa. Ei näköjään emojen tukisivuja löydy. Tai tuli lopulta DNS failture, tosin webbipalvelimelta?
Nämä kaverit tulee sulkea tyrmään 10 vuodeksi. Se opettaa heille tapoja.
Ottaen huomioon eilisen Gigabyten virtalähteiden räjähdys-casen Gamer Nexusin arviossa, ei kyllä hyvin mene Gigabytellä atm
Näistä ransomware hyökkäyksistä ei muuten päästä millään eroon ainakaan isommissa firmoissa, koska sieltä löytyy aina se yksi vittuuntunut työntekijä, joka tekee diilin ransomware hakkereiden kanssa ja asentaa USB-tikulta haittaohjelman suoraan firman sisäverkkoon. Kiinnijäämisen riskikin on äärimmäisen pieni kunhan haittaohjelmaa ei asenna suoraan omalta koneelta vaan odottaa, että joltain työkaverilta on jäänyt kone päälle ja asentaa haittaohjelman työkaverin koneelta. Se asentuminenkin voi olla niin nopeaa, että USB-tikkua ei tarvitse käyttää kuin 5 sekuntia USB portissa ja kone on jo saastunut ja alkaa tietoturva aukkoja hyödyntäen saastuttaa muita koneita.
Tästä syystä isommissa firmoissa on alettu antamaan ATK ylläpidolle määräyksiä liimata kaikki USB portit umpeen sähköä johtamattomalla epoksilla jos USB portteja tarvitaan esim. näppäimistöä ja hiiriä varten ne lukitaan fyysisesti siten, että käyttäjä ei murtamatta lukkoja pääse portteihin käsiksi ja avain lukitukseen on vain rajatuilla henkilöillä. Näin voidaan pienentää epäiltyjen joukkoa jos tulee ransomware hyökkäys, joka on alkanut USB kautta. Oikeastaan muuta keinoa ei ole estää työntekijöitä saastuttamasta työnantajansa laitteistoja ei ole johtuen siitä miten leväperäisesti koko USB on suunniteltu laitetasolla, sekä käyttöjärjestelmätasolla.
Toki ransomware haittaohjelmat voidaan saada firman verkkoon sähköpostin tai WWW-linkkien kautta, mutta niistä jää helpommin jälkiä logeihin mistä selvittää mistä infektio on tullut.
Ihan pro-luokan koneissa pystyy ne ylimääräiset portit disabloimaankin BIOS-tasolla ilman epoksilla läträystäkin.. jos joku alkaa biosia häksäämään niin vahinko tapahtuu joka tapauksessa, epoksia tai ei
Missä frimoissa, jos siis tuolla tarkoitat yleisesti kaikki, eikä vain joitain tiettyjä laitte/kohde ryhmiä, mutta aiempaa laajemmin .
Jos kaikki, niin hommaan taitaa mennä vuosia.
Millä tavalla USBin kautta nämä on yleensä tehty ? (en siis nyt hae miten ajatuksen tasolla voisi, vaan mitä juttua näissä nyt on hyödynnetty).
Mitä tarkoitat ? jotain ajatusia tulee mieleen, mutta ne arvailua.
Tämä on kyllä ihan totta. USB-standardi on kuitenkin sen verran monimutkainen, että sen toteuttaviin ajureihin ja muuhun software stackiin jää helposti erilaisia aukkoja joita kehittyneet haittaohjelmat voivat hyödyntää. Ja tällaisia käyttöjärjestelmätason aukkoja hyväksikäyttämällä onnistuukin helposti koko koneen saastuttaminen. Lisänä vielä se, että koskaan ei ole täysiä takeita siitä, miten koneeseen liitettävä tuntematon USB-laite itsensä käyttöjärjestelmälle esittelee. Esim. ulkoisesti muistitikun näköinen laite voi esittäytyä käyttikselle näppäimistönä ja alkaa sitten syöttämään järjestelmään haitallisia komentoja. Tämän takia käyttöjärjestelmissä pitäisi olla mahdollisuus estää muut kuin ennalta hyväksytyt USB-syöttölaitteet kokonaan. Kunnes sitten sattumalta esim. näppäimistö tai hiiri yhtäkkiä hajoaakin, ja ollaan ongelmissa, kun järjestelmään pitäisi saada lisättyä hyväksyttyjen laitteiden listalle uuden hiiren/näppäimistön tunnistetiedot ilman hiirtä/näppäimistöä… Järkevämpää ehkä olisi, jos hiirelle ja näppikselle olisi kokonaan oma liitäntästandardi.
Yrityksen tietojärjestelmän suojaaminen omien työntekijöiden sabotaasilta onkin sitten jo huomattavasti korkeamman vaikeusasteen temppu. Se saattaisi ehkä onnistua jollain Qubes OS:n mallin mukaisella järjestelyllä, jossa kaikki vähänkin epäilyttävä on eristetty omiin kertakäyttöisiin virtuaalikoneisiinsa, jotka pystyy napin painalluksella palauttamaan takaisin alkutilaan. Tällöin esim. kaikki USB-laitteet ja siirrettävät tallennusmediat olisivat omassa virtuaalikoneessaan, samoin kuin kaikki sellaiset sovellukset, joilla on pääsy julkiseen internetiin. Ja jos näistä ei-luotetuista virtuaalikoneista haluaisi siirtää mitä tahansa tiedostoja tai dataa luotetulle puolelle, josta on pääsy esim. yrityksen sisäverkkoon, niin se pitäisi tehdä kierrättämällä ne jonkin keskitetyn palvelimen kautta, jossa tiedostoille/datoille tehdään perusteellinen validointi ennenkuin ne saa ladattua koneen paikalliselle kovalevylle tai esim. leikepöydälle. Kallista ja vaivalloista joo varmaan, mutta onko näiden ransomware-hyökkäysten uhriksi joutuminen loppupeleissä kuitenkaan parempi/halvempi vaihtoehto?
Ei siinä, tietoturvasta on noin ylipäätään hyvä pitää huolta, mutta nyt kun katsoo minkä tason kasvavia investointeja tietoturvaan joudutaan jatkuvasti tekemään, riittävän pitkät salasanat alkavat olla pian 20-merkkisiä, näitä valtavia tietomuroja on yhä enemmän, isot rahat liikkuvat pimeällä puolella, kalastusyrityksiä tulee tekstareista, some-viesteihin ja puhelinsoittoihin asti niin aika hankalalta tämä alkaa pikkuhiljaa tuntua.
Joku sanonta kai se onkin että tarvittaisiin maailmanlaajuinen diktatuuri että tää porukka saataisiin tekemään jotain yhdessä.
USB on suunniteltu helppokäyttöisyys edellä eikä oikein nykyisenkaltaiseen ransomware maailmaan. Periaatteessa kotikäytössä USB on ihan hyvä standardi, mutta yritys- ja julkishallinto maailmassa se alkaa olla aikamoinen tietoturvariski. Isommista organisaatioista aina löytyy se yksi vittuuntunut joka voi kostoksi laittaa sen haittaohjelman sinne sisäverkkoon omalta USB tikultaan. Moni ransomware hakkeriporukka, jopa maksaa siitä kryptovaluuttana jos saastutus onnistuu ja sillä tienataan rahaa. Käsittääkseni Windows 11 aikaa kiristää USB liittyviä juttuja antamalla group policyille mahdollisuuden asettaa estoja siihen miten USB portteja voi käyttää. Tämä ei tietysti välttämättä riitä, koska USB voi olla tietoturva-aukkoja joilla ohittaa nämä estot.
Siellähän se on PS2 liitin näppikselle:) Ei tarvi USB:a jos vaan semmonen emolta löytyy:)
Kaikki tähän asti näkemäni ransomware hommat ovat käytännössä tulleet sähköpostissa mistä joku käyttäjä ajaa malware liitteen. Verkkolevyiltä näkee aika äkkiä kuka tiedostoja muuttaa ja pistää käyttäjän koneen kiinni. Toinen on murtautuminen RDP läpi johonkin palvelimelle, näitä en ole itse nähnyt mutta lukenut juttuja. Ja sitten on supply chain hyökkäykset Solarwinds, Kaseya jne
Pilviaikakaudella kaikki data pyritään viemään pilveen turvaan ja päätelaitteet irti sisäverkoista, mahdollinen vahinkokin sitten rajoittuu lähinnä siihen käyttäjä koneelle.
Mutta siitä vasta vahinkoa syntyisi, jos ramsomware pääsee riehumaan pilvipalveluntarjoajan palvelimilla. Toivottavasti tätä ei tulla näkemään.
– Jotain esimerkkejä niistä isoista firmoista joissa epoxilla kaikki USB portit tukkoon.
– Kuinka moni julkisuuteen tullut otsikon hyökkäys on tehty nimenomaan USB "avulla"
– Mitä haavoittuvuuksia/mentelmiä niissä on hyödynnetty.
Tarkoitatko tässä nyt jotain USB aukkoa jolla tikulla pääsee sisäverkkoon hyökkään, vai viittaatko tässä nyt USB mediana jolla kuljetettu haitake softa. Eli ei mitään tekemistä USB turvallisuuden kanssa, verrattavissa lerppuun, korppuun, optiseen mediaan, muistikorttiin, matkapuhelimeen, läppäriin jne. jne. Printtattuun ohjeeseen jne, kameraan.
Ei USB tikkuja saa kaikkiin tiloihin viedä.
Palvelu katko ihan tavattomia ole.
Mielenkiintoista, olisiko linkkejä tuollaisiin usb:n lukitusratkaisuihin tai jotain tarkempaa dokumentaatiota aiheesta. Miksiköhän PS/2 liitäntää ei voida palauttaa takaisin emolevyille., hyvä liitäntä hiirelle ja näppäimistölle ja tuskin sisältää tuollaisia tietoturvaongelmia kuten usb.
Patrialla esimerkiksi on estetty jämerällä lukittavalla kaapilla fyysinen pääsy muuhun kuin ps/2 hiireen, näppikseen ja serial väyläiseen kulkukortin lukijaan. Näyttökin oli lasin takana.
Kaiken muun täss ratkaisussa ymmärrän turvakaapin, liitäntöihin pääsyn rajoittamisen, mutta miksi näyttö lasin taakse? Varmaan käytännölle on joku hyvä syy jota en vain itse keksi
Onhan niitä vaikka minkälaisia ratkaisuja millä USB portit voi lukita. Halvimmillaan ja yksinkertaisimmillaan tälläisillä kuin tuo deLOCK. Yritysmaailmassa tosin käytetään tehokkaampia ratkaisua ja sarjoitettuja lukkoja usein koko kone on suljettu metalliseen koteloon, joka on lukittu ja estää käyttäjältä pääsyn USB porteille. Kaikkein arvoikkainta tietoa sisältävät koneet ovat yleensä kokonaan erillisissä tiloissa kulunvalvonnan, kameravalvonnan ja lukittujen ovien takana tilassa, johon ei pääse kuin muutamat henkilöt. Tämän lisäksi todella arvokasta tietoa sisältävät koneet suljetaan murron ja tulipalon kestäviin kassakaappeihin.
data-unfurl="true" data-result-id="217131" data-url="https://tietokonekauppa.fi/products/1058861/Komponentit/Asennustarvikkeet/Asennusvalineet_ja_tarvikkeet/20648/DeLOCK_USB_Port_Blocker_5_USB_locks_2_keys_white_Tietokoneen_USB_liitannan_lukko_estaa_USB_n_kayton" data-host="tietokonekauppa.fi" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
DeLOCK USB Port Blocker, 5 USB locks, 2 keys, white. Tietokoneen USB-liitännän lukko, estää USB:n käytön.
data-onerror="hide-parent"/>
tietokonekauppa.fi
Tässä on isompi artikkeli fyysisestä-tietoturvallisuudesta mitä kaikkea se sisältää lukitseminen USB porttien käytön estäminen on vain yksi osa fyysistä-tietoturvallisuutta:
data-unfurl="true" data-result-id="217134" data-url="https://blog.seclion.fi/turvallisuus/fyysinen-tietoturvallisuus" data-host="blog.seclion.fi" data-pending="false">
class="link link--external fauxBlockLink-blockLink"
target="_blank"
rel="nofollow noopener"
data-proxy-href="">
Mitä on fyysinen tietoturvallisuus?
data-onerror="hide-parent"/>
blog.seclion.fi
Aiemmin vain osa, mutta meinaatko että nykyään kaikki ?
Kommentoi uutista tai artikkelia foorumilla (Kommentointi sivuston puolella toistakseksi pois käytöstä)
Lähetä palautetta / raportoi kirjoitusvirheestä