Hyökkäyksen kohteeksi on joutunut palvelimia Euroopassa ainakin Italiassa ja Ranskassa. Kohteena on ollut myös palvelimia Yhdysvalloissa ja Kanadassa.
Useissa Euroopan maissa ja muualla maailmalla on havaittu laaja tietoturvahyökkäys, joka on koskenut tuhansia eri palvelimia. Kuva: Antti Yrjonen / Lehtikuva
STT–HS
Useissa Euroopan maissa ja muualla maailmalla on havaittu laaja tietoturvahyökkäys, joka on koskenut tuhansia eri palvelimia, kertoo Liikenne- ja viestintävirasto Traficomin kyberturvallisuuskeskus. Hyökkäyksen kohteeksi on joutunut myös suomalaisia palvelimia.
”Hyökkäyksessä on käytetty ohjelmistoteollisuusyritys VMwaren ESXi-nimisessä virtualisointiohjelmistossa olevaa haavoittuvuutta, joka havaittiin jo vuoden 2021 helmikuussa”, sanoo kyberturvallisuuskeskuksen tietoturva-asiantuntija Samuli Könönen haastattelussa.
Tietoturvarikollisten tavoitteena on ollut Könösen mukaan päästä palvelinten sisään ja asentaa niihin kiristysohjelma, joka vaatii lunnaita kryptovaluutan muodossa.
Hyökkäyksessä käytetty haavoittuvuus on paikattu ohjelmistopäivityksellä jo alkuvuodesta 2021. Jos päivityksen on tehnyt tämän jälkeen, ei vaaraa joutua hyökkäyksen kohteeksi ole.
”Rikolliset ovat nyt etsineet opportunistisesti palvelimia, joiden omistajat eivät ole niitä syystä tai toisesta päivittäneet”, Könönen sanoo.
Kyberturvallisuuskeskus kartoittaa tällä hetkellä mahdollisia Suomessa sijaitsevia palvelimia, jotka ovat joutuneet hyökkäyksen uhriksi. Tällä hetkellä kyberturvallisuuskeskus on saanut tietoonsa vasta yksittäistapauksia.
Könönen painottaa, että hyökkäystä ei ole kohdennettu erityisesti Suomeen.
”Meillä ei ole vielä tarkempaa arviota siitä, kuinka paljon suomalaisia palvelimia on joutunut hyökkäyksen kohteeksi. Kyse on kuitenkin hyvin pienestä määrästä verrattuna koko hyökkäyksen kokoon.”
Hyökkäyksen kohteeksi on joutunut uutistoimisto Reutersin mukaan palvelimia Euroopassa ainakin Italiassa ja Ranskassa. Kohteena on ollut myös palvelimia Yhdysvalloissa ja Kanadassa.
Kaikkien VMwaren ESXi-virtualisointiohjelmiston käyttäjien tulisi Könösen mukaan tarkistaa, milloin he ovat viimeksi päivittäneet ohjelmiston.
”Jos sitä ei ole päivitetty sitten vuoden 2021 helmikuun, tulee olettaa, että se on murrettu”, Könönen sanoo.
Virtualisointiohjelmisto mahdollistaa useiden virtuaalisten palvelinten isännöimisen yhdellä fyysisellä palvelimella.
Italialainen uutistoimisto Ansa kertoi jo sunnuntaina, että useat palvelimet sekä Italiassa että muissa Euroopan maissa ja Pohjois-Amerikassa ovat vaarantuneet. Ansa mainitsi Suomen, Ranskan, Kanadan ja Yhdysvallat.
Ansan mukaan hyökkäys huomattiin ensin Ranskassa.
Tuhannet palvelimet ympäri maailmaa joutuivat ”massiivisen” kiristyshaittaohjelman aiheuttaman hyökkäyksen kohteeksi, kertoi Italian kansallinen kyberturvallisuusvirasto (ACN) sunnuntaina.
Yhdysvaltain kyberturvallisuusviranomainen sanoi Italian ilmoituksen jälkeen selvittävänsä mahdollisen hyökkäyksen laajuutta ja vaikutuksia Yhdysvalloissa.
