play

Suomalaisyrityksiä vastaan hyökänneen kyberrikosryhmän omat sivut ovat olleet alhaalla viikkokaupalla – tietoturva-asiantuntijan mukaan ryhmä on itse hyökkäyksen kohteena

LV-niminen kyberryhmä teki heinäkuussa kaksi kiristyshaittaohjelmahyökkäystä, niistä ensimmäinen kohdistui Wärtsilään, ja kuun lopussa STT:tä vastaan hyökättiin. LEHTIKUVA / Anni Ågren

LV-niminen kyberryhmä teki heinäkuussa kaksi kiristyshaittaohjelmahyökkäystä, niistä ensimmäinen kohdistui Wärtsilään, ja kuun lopussa STT:tä vastaan hyökättiin. LEHTIKUVA / Anni Ågren

STT-Lehtikuva

Konepajayhtiö Wärtsilän ja Suomen Tietotoimiston STT:n verkkohyökkäyksistä vastuun ottanut verkkorikosryhmä LV on saattanut itse joutua kyberhyökkäyksen kohteeksi.

Kiristyshaittaohjelmallaan hyökkäyksiä tehneen ryhmittymän blogisivusto on pimeässä Tor-verkossa ollut syyskuussa useita viikkoja poissa käytöstä, ja ryhmän passiivisuus on huomattu myös tietoturvapiireissä. Tietoturvayhtiö Cyber Intelligence Housen toimitusjohtajan Mikko Niemelän mukaan LV:n vuotosivusto on joutunut palvelunestohyökkäyksen kohteeksi. Hänen mukaansa vastaavaa on tapahtunut myös muiden pimeässä verkossa olevien rikollisten sivuilla.

–  Kysymys kuuluukin, ovatko he keskenään sotimassa siellä vai onko siellä joku, joka on vähän kaikkia vastaan. Esimerkiksi uusi pelaaja, joka on tulossa markkinoille. Sekin on mahdollista, Niemelä kertoo STT:lle.

Tietoturvayhtiö WithSecuren tutkimusjohtaja Mikko Hyppönen on myös huomannut, että sekä LV:n vuoto- että maksusivusto ovat olleet suljettuina usean viikon ajan. Hyppösen mukaan palvelunestohyökkäys on mahdollinen, mutta hän ei pysty vahvistamaan sitä.

Mainos alkaa
Mainos päättyy
Mainos alkaa
Mainos päättyy

–  Se on täysin mahdollista, mutta sitten se (sivusto) on ollut aika pitkään DoS:n (palvelunestohyökkäyksen) alla. Melkein kuukauden, kolme viikkoa ainakin, sanoo Hyppönen.

Palvelunestohyökkäyksessä verkkosivusto tukitaan kohdistamalla niin paljon verkkoliikennettä, ettei se toimi kunnolla.

Verkkohyökkäys kiristyshaittaohjelmalla

LV-niminen ryhmä teki kesällä kaksi kiristyshaittaohjelmahyökkäystä suomalaisia yrityksiä kohtaan. Niistä ensimmäinen kohdistui heinäkuussa Wärtsilään, ja heinäkuun lopussa STT:tä vastaan hyökättiin.

Mainos alkaa
Mainos päättyy
Mainos alkaa
Mainos päättyy

Helsingin poliisi tutkii STT:hen kohdistuvaa hyökkäystä nimikkeillä tietomurto ja tietojärjestelmän häirintä. Poliisin esitutkinta on kesken, eikä tutkinnanjohtajalla, rikoskomisario Jukkapekka Risulla ole tutkintaan uutta kommentoitavaa.

Toistaiseksi on epäselvää, jatkaako LV yhä toimintaansa. Aiemmin ryhmittymä on julkaissut pimeässä verkossa listauksen yrityksistä, joita se on hakkeroinut. Listaus ei ole päivittynyt elokuun lopun jälkeen, ja lopulta ryhmän sivusto hävisi. Sivustolla ryhmä myös uhkasi julkistaa haltuunsa saamia yritysten tietoja, jollei sen vaatimia lunnaita maksettu.

Koska sivusto on ollut pitkään alhaalla, ei ryhmä ole myöskään julkistanut uusia uhkauksia. Cyber Intelligence Housen Mikko Niemelä pitää mahdollisena, että palvelunestohyökkäyksen taustalla on ryhmän kilpailija. Hänen mukaansa kyberrikoksia tekevät ryhmät ovat aiemmin yrittäneet myös hakkeroida toisiaan.

–  Vaikuttaisi enemmän siltä, että se on vastapuoli, koska se (LV) on menettänyt sellaista tietoa, mistä muuten olisi saanut rahaa, Niemelä sanoo.

Mainos alkaa
Mainos päättyy

Niemelä ei pidä todennäköisenä sitä, että alasajo johtuisi viranomaisten toiminnasta. Hän perustelee sitä sillä, että palvelunestohyökkäys aiheuttaa ryhmälle ainoastaan tilapäistä haittaa.

WithSecuren Hyppösenkään tiedossa ei ole, että sivuston sulkemisen taustalla olisi viranomaisten toiminta.

–  Totta kai se on mahdollista, mutta ei ole mitään tietoja, että kyse olisi siitä, hän sanoo.

Rikoskomisario Risu ei kommentoi sitä, onko sivuston sulkemisen taustalla viranomaistoimintaa.

"Ei voida sanoa, että olisi mitenkään kadonnut"

Toistaiseksi on avointa, onko LV:n passiivisuus ainoastaan tilapäistä vai pysyvää.

–  Tällä hetkellä ei voida sanoa, että (LV) olisi mitenkään kadonnut, sanoo Mikko Niemelä.

Toisaalta kyberrikosalalla ryhmät voivat myös hajautua osaksi muita ryhmiä. Näin on WithSecuren tutkimusjohtajan Hyppösen mukaan käynyt aiemmin.

LV:llä ja tunnetulla venäläisellä Revil-kiristyshaittaohjelmaryhmällä on osittainen kytkös, koska LV:n käyttämä haittaohjelmisto pohjautuu Revilin ohjelmiston koodiin. Revil on LV:n hiljaiselon aikana julkistanut hyökänneensä kiinalaiseen elektroniikka-alan yhtiöön Midea Groupiin, joka valmistaa muun muassa Toshiba-merkin kodinkoneita.

Mikko Hyppösen mukaan mitään viitteitä siitä, että Revilin ja LV:n viimeaikaisen aktiivisuuden välillä olisi yhteyttä, ei ole. Hänen mukaansa on mahdollista, että LV yksinkertaisesti lopetti toimintansa.

–  Joko ryhmä on ottanut rahat ja hävinnyt tai mennyt osaksi muita ryhmiä, sanoo Hyppönen.

uusimmat

Haemme jutun kohta
Haemme jutun kohta
Haemme jutun kohta
Haemme jutun kohta

Luetuimmat

Haemme jutun kohta
Haemme jutun kohta

Haemme jutun kohta
Haemme jutun kohta

LÄHETÄ KUVA TAI VIDEO

Näitkö jotain mielenkiintoista? Lähetä kuva! Voit lähettää Karjalaiselle uutiskuvien ja - videoiden lisäksi ajankohtaisia kuvia, jotka ovat hienoja, mielenkiintoisia, hauskoja tai kertovat erikoisista asioista.

phone

Toimitus, uutisvihjeet:

010 230 8110

email

toimitus@karjalainen.fi