Toimari Kimmo Alkio kommentoi, että firmalla on kyberturvavakuutus, joka soveltuu tilanteeseen.
Muuten tuttua juttua siitä, että joitakin palvelimia on saatu palautettua, mutta työt tulevat kestämään vieläjoitakin viikkoja.
Itse tuossa vasta kyselinkin suorista taloudellisista vaikutuksista ja siihen saamani vastaukset tästä vakuutuksesta puhuivat.
Jos tuo TietoEvryn tieto murto on tehty Akiralla, palautuminen siitä voi olla vaikeaa, jos Akira on tuhonnut NAS:t ja backupit ja kryptannut VMware virtuaali palvelimien levyt.
Normaalistihan hyökkäyksestä toivotaan palauttamalla varmuuskopiointi alkuperäinen tilanne.
Tämä hyökkäys muuttanee tulevaisuudessa tuota varmuuskopiointi offline/3-2-1 sijoittelua. Varmuuskopioihinkin on panostettava.
Jos sisään on tultu tuosta Ciscon VPN haavoittuvuudesta, johon paikkaus oli jo syksyllä, voi olla kiusallisen paikat VPN purkkien hoitajalla.
EDIT: Avast on luonut decryptorin, on valmis Windows jalustalla, pitäisi toimia myös Linux, joten voi ollakin palautettavissa
Nina Nummela, yksityispankkiiri, United Bankers
Henry Lahdensuo, seniorivarainhoitaja, OP
Jarkko Aho, yksityissijoittaja ja sijoituskirjailija, Helsinki
Jo se että varmistuksiin pääsee etänä on suunnitteluvirhe. Jotain snappejä voi olka nopeasti saatavillä mutta ei saa olla mahdollisuutta että tunnusten menetys johtaa varmistusten menetykseen.
Enkä usko että tässä tapauksessakaan kaikkia varmistuksia on menetetty.
"Molempien yhtiöiden lakimiehet korostavat, ettei oikeuskiista tai sen tulos vaikuta osapuolten väliseen liiketoimintaan.’
https://rusta.fi/ edelleen alhaalla? Marshall lisäillyt shorttiansa 25.1.24 0.66:sta 0.7%:iin ja tekee turskaa.
Onko siis vieläkin päällä aktiivinen hyökkäys, vai miksi sivustoa ei vain deployata uudelle instanssille kun se on jo valmiiksi kokonaan rikki? Toki se voisi olla monimutkaisempaa maailmanlaajuiselle verkkokaupalle, mutta eiköhän tuo ole vain ja ainoastaan Suomessa?
Tapauksesta en tiedä yksityiskohtia, mutta pelkän uudelleenpystytyksen lisäksi vaatii ainakin myös asiakas- ja tuotetiedot ennen kuin verkkokaupalla tekee mitään, ikävämpi homma, jos niitä on menetetty pysyvästi.
Hyökkäys tuskin on aktiivinen, vaan se vahinko mitä tehtiin on pysyvää. Se häxi mikä sinne palvemilelle puikattiin kryptasi kaikki tiedot ja back-upit. Decryptaus ei oo nopeaa puuhaa. Muutama vuosi sitten tuommoisen hyökkäyksen decryptaus ei ollut käytännössä edes mahdollista.
Off-topic:
Suosittelen sellasta sarjaa kuin Mr. Robot, siinä on aika realistisesti kuvattu mitä ja miten hackkerit toimii. Ei ole sellaista perus ruudulla viliseviä numeroita ynnä muuta kliseistä kuraa, mitä laiskasti töllössä yleensä esiintyy kun joku nörtti hakkeroi jotain. Ei tämäkään mitään realistista kuvaa anna, mutta mielestäni ainoa viihteellinen hakkereista kertova sarja, jota katsoessa ei tarvitse voivotella kuinka nolosti media vieläkin esittää koodarit. Sarja muutenkin keskiverto höttöä fiksumpaa, että jos Sopranosit, Successionit tai muut aikuisten sarjat maistuu niin tämä kannattaa tsekkaa, vaikka meno onkin ajoittain aika häröä.
Toki kun tämä on Venäjän tekemä hyökkäys, on toiminta kertaluokkaa “ammattimaisempaa” kuin perus-skriptakiddie tai läpällä tehty wannacry. Mutta luulisi edes jonkin verran ammattimaisemman toteutuksen olevan suht immuuni instanssien kryptauksille tai rikkomiselle, kun infra ja toteutuskoodi on erikseen “serveristä” ja viestijonot (toivottavasti!) myöskin itsenäisiä ja myös varmuustallennettuja ainakin tietyllä TTL:llä 
En ole alan asiantuntija mutta miten myös backupit menivät? Olen ollut käsityksessä että backupit olisivat eri servereillä? Mahdollisesti jopa ihan eri konesalissa, esim. Vaikka pommi-iskun varalta?
Hieman menee yleiselle tasolle yhtiöketjussa, mutta…
Ransomwarehyökkäykset pyrkivät yleensä tunkeutumaan hallintakerrokseen, josta pääsee kiinni niin tuotantopalvelimille kuin täysin erillisiin backupeihin. Yleensä samoilla oikeuksilla hallinnoidaan niitä palvelimia ja backupeja. Ja kun hallintayhteys on olemassa, siinä ei auta pommi-iskun kestävä luolakaan.
Toinen huomioitava asia on backupien ja varautumisen hintalappu. Vaikka backupit voisi suojata parhaalla mahdollisella tekniikalla ja offline-kopioilla, ne tahtovat maksaa rahaa. En tiedä/ole huomannut onko tässä tapauksessa mainittu mitään asiakkaiden palautumisratkaisuista, mutta voihan olla että Rusta & co eivät ole halunneet maksaa esim tuplahintaa paremmasta varautumisesta. Konesalin tarjoajalla todennäköisesti on hinnasto eri tasoisille ratkaisuille, mutta kalleimmat ja parhaat niistä lienee relevantteja vain aivan kriittisimmille (ehkä enemmän julkisen puolen?) ympäristöille.
Ehkä halvimmassa toteutuksessa ja ei voi olla yleinen tapa. Kukaan tervejärkinen ei tuollaista toteutusta osta kriittiseen järjestelmään. TietoEvry myy kyllä korkeaankin varautumiseenkin sopivia toteutuksia ja on varsin joustava myös muissa ratkaisuissa kun vaan sovitaan kustannuksista. Eli sitä saa mitä tilaa ja jos on tilannut oikein niin kyllä asiakas saa jostain korvaukset oli se sitten toimittajan tai asiakkaan oma vakuutus tai loppukädessä oikeuslaitos arpoo maksajan.
En kyllä usko, että tuo kryptaus on voinut mennä nauhavarmistuksiin saakka (ellei hyökkäys ole alkanut jo tyyliin vuosi sitten), mutta ne nauhavarmistukset saattavat olla tosiaan esim. vuoden vanhoja tietoja, joten ovat sitä kautta epäkuranttia tavaraa.
Paha on ulkopuolelta arvioida mitään varmuudella, mutta jos siellä olisi back-upit kunnossa niin kyllä ne sivut olisi päivässä tai parissa saanut toimimaan. Tilejä olisi varmaan kadonnut yms, mutta aika vahvasti omaan silmään näyttää että häkkääjillä on ollut pääsy käytännössä ihan kaikkeen. Tämä on kyllä malliesimerkki siitä, miksi PAM (privileged access management, jota esim SSH tarjoaa) on ollut kuuma termi tietoturvapuolella viime vuodet. Pääsynhallinta on suhteellisen kriittistä konkreettisessa maailmassakin.
En kyllä usko, että tuo kryptaus on voinut mennä nauhavarmistuksiin saakka (ellei hyökkäys ole alkanut jo tyyliin vuosi sitten), mutta ne nauhavarmistukset saattavat olla tosiaan esim. vuoden vanhoja tietoja, joten ovat sitä kautta epäkuranttia tavaraa.
Tuntematta tätä casea yhtään, spekuloin hieman, koska itse backup-asia sattuu olemaan ammatillisesti jokseenkin tuttua.
Hyvin tehdyssä varmistusjärjestelmässä totta kai pitäisi olla nauhalla tuoreempaa kuin vuoden vanhaa dataa. Parhaassa tapauksessa ajetaan tietokantatransaktiot lähes reaaliajassa jatkuvasti, mutta aika tyypillistä on kerran päivässä otettavat varmistukset.
Jos käytetään konkreettista nauhaa, sen kanssa helposti tulee tällaisissa kokonaisia isoja ympäristöjä tuhonneissa tilanteissa helposti vastaan ihan fyysinen kapasiteeti. Tyypillisessä varmistusjärjestelmässä on korkeintaan tusinan verran nauha-asemia joilla dataa voidaan samanaikaisesti palauttaa, kun taas itse kasetteja voi nauhakirjaston hyllyillä olla satoja tai tuhansia, joita robotiikka sieltä poimii käsiteltäväksi vuorotellen. Lisäksi itse palautettava data on helposti jakautuneena lukuisille nauhoille ja nauhojen sisälläkin eri kohtiin, joten kelaamista riittää. Totta kai asia voidaan tehdä myös viimeisen päälle hyvin, mutta kun se on kallista ja harva yritys haluaa siitä maksaa valtavia summia, kunnes tälllainen katastrofi opettaa.
Pelkkä ns. kuluerä joka on helposti miltei yhtä kallista pyörittää kuin itse varsinainen rahaa tuottava järjestelmä, jota suojataan.
Tiedon palauttamiseen liiittyy aivan uskomaton määrä erilaisia nyansseja, joita ei tule ajatelleeksi jos ei ole kokemusta aiheesta. Harvassa yrityksessä on koskaan testattu kaiken palauttamista isoon ympäristöön, joten yllätyksiltä on vaikea välttyä. On varmaan töitä riittänyt tuolla!
Nordea julkaisi päivitetyn Tietoevry-analyysinsä. Suositus pysyy OSTA-tasolla, tavoitehinta tarkentuu 29,60 euroon (edellinen: 29,70 €).
OP julkisti myös oman näkemyksensä. Tavoitehinta yhä sama 27 euroa, suositus ennallaan ‘osta’.
Mikä on kun ei taidot riita, mikä on kun ei onnistu…
Vai mitä pitäisi ajatella Mörnijä-Tiedosta.
Odottavan aika on pitkä, mutta onhan tuossa putkessa osan myynti, spin-off, kohtuullinen tuloskunto ja osingonjako.
Hyvin eli 57% on firma jäänyt jälkeen globaalista IT-palvelusektorin indeksistä Juha Variksen ja Blomman mukaan…
