Suomalainen IT-jätti Tietoevry Joutui Lunnasohjelman Uhriksi
Suomalainen tietotekniikkaohjelmisto- ja -palveluyritys Tietoevry joutui viikonloppuna lunnasohjelmahyökkäyksen uhriksi, mikä aiheutti laajoja käyttökatkoksia eri toimialoilla Ruotsissa.
Hyökkäyksen seuraukset ovat ulottuneet terveydenhuoltoon, viranomaispalveluihin, vähittäiskauppoihin ja jopa maan suurimpaan elokuvateatteriketjuun. Tietoevry, pörssiyhtiö, jonka pääkonttori sijaitsee Espoossa, jonka vuositulot ovat 3,3 miljardia dollaria ja jonka palveluksessa on maailmanlaajuisesti 24 000 työntekijää, kamppailee nyt verkkohyökkäyksen jälkiseurausten kanssa.
Myöhään perjantai-iltana tai varhain lauantaina alkanut hyökkäys kohdistui yhteen Tietoevryn datakeskuksista Ruotsissa, mikä aiheutti häiriöitä lukuisten ruotsalaisten asiakkaiden palveluihin. Näitä asiakkaita voi hyvin olla ollut esimerkiksi uhkapeliyritykset, jolloin jackpot peli olisi ollut alhaalla.
Vaikutuksen kohteeksi joutuneisiin organisaatioihin kuuluu terveydenhuollon laitoksia, paikallisia ja kansallisia viranomaispalveluja, vähittäiskaupan toimipaikkoja ja jopa maan merkittävä elokuvateatteriketju. Hyökkäyksen laajuus korostaa kriittisen infrastruktuurin haavoittuvuutta pahantahtoisille kyberuhille.
Tietoevry varoitti ruotsalaisia asiakkaita loukkauksesta viipymättä lauantaina ja vakuutti, että vaarantunut infrastruktuuri oli eristetty vaaratilanteen rajoittamiseksi. Yritys myönsi, että hyökkäyksen seurauksena oli katkoksia, ja aloitti kattavat vastatoimet, joissa tiimit työskentelivät ympäri vuorokauden hyökkäyksen korjaamiseksi ja järjestelmien palauttamiseksi normaaliksi.
Näistä ponnisteluista huolimatta palautusprosessin koko laajuus on edelleen epävarma. Tietoevry julkaisi maanantaina lausunnon, jossa todetaan: “Tällä hetkellä Tietoevry ei voi sanoa, kuinka kauan palautusprosessi kokonaisuudessaan kestää”, ja tunnustetaan, että kyseessä oli monimutkainen tapahtuma ja moninaisia asiakaskohtaisia järjestelmiä, joihin se vaikutti. Yhtiö ilmoitti olevansa sitoutunut ratkaisemaan ongelman mahdollisimman nopeasti ja tekevänsä tiivistä yhteistyötä asiakkaiden kanssa, joita asia koskee.
Venke Bordal, Tietoevry Tech Servicesin Ruotsin markkinajohtaja, esitti julkisen anteeksipyynnön:
“Pyydämme vilpittömästi anteeksi ongelmia, joita tämä ilkivaltainen hyökkäys aiheuttaa asiakkaillemme ja kaikille, joihin se vaikuttaa.”
Bordal vakuutti, että kaikki tarvittavat resurssit on varattu tilanteen ratkaisemiseksi mahdollisimman huolellisesti.
Lunnasohjelmahyökkäyksen seuraukset ulottuivat Tietoevryn omia järjestelmiä laajemmalle, sillä se vaikutti sen hallinnoituun HR- ja palkanlaskentajärjestelmään Primulaan. Primula-järjestelmä, jota käyttävät lukuisat viranomaiset, yliopistot ja korkeakoulut, kärsi häiriöistä, jotka vaikuttivat useiden laitosten, kuten Karolinska Institutetin, Linnaeusin yliopiston, Lundin teknillisen yliopiston, Ruotsin maataloustieteiden yliopiston ja University Westin, palkanlaskentapalveluihin.
Uppsalan lääni, joka sijaitsee Ruotsin itäisellä keskirannikolla, aktivoi kriisinhallintasuunnitelmat, kun sen potilastietojärjestelmä meni epäkuntoon ja jotkin talousjärjestelmät eivät olleet käytettävissä. Viranomaiset vakuuttivat, että potilaille ei ollut välitöntä vaaraa, mutta varoittivat mahdollisista komplikaatioista, jos järjestelmiä ei palauteta nopeasti.
Bjuvsin ja Vellingen kunnat ilmoittivat palkanlaskentajärjestelmien katkoksista, ja Vellinge ilmoitti myös kirjastojärjestelmien häiriöistä. Vaikutus tavoitti Ruotsin kansallisen valtionhallinnon palvelukeskuksen Statensin, joka vahvisti, että kuluvan kuukauden valtion palkat käsitellään edelleen hyökkäystä edeltävien valmistelujen ansiosta.
Julkishallinnon ja terveydenhuollon lisäksi myös yksityinen sektori tunsi verkkohyökkäyksen jälkivaikutukset. Ruotsin suurin elokuvateatteriketju Filmstaden koki häiriöitä, jotka vaikuttivat lippujen ennakkomyyntiin sen verkkosivuston ja sovelluksen kautta.
Granngården, yksi Ruotsin suurimmista maatalous- ja puutarhatarvikkeiden vähittäismyyjistä, sulki tilapäisesti yli 100 myymälää hyökkäyksen vuoksi. Kodin ja vapaa-ajan tuotteiden vähittäismyyjä Rusta piti myymälänsä auki, mutta ilmoitti, että sen verkkosivusto oli offline-tilassa. Jopa Moelven, joka on merkittävä puunjalostusyritys Skandinaviassa, joutui kärsimään häiriöistä.
Tietoevry tunnisti hyökkäyksen tekijäksi Akira-lunnasohjelmaryhmän. Vaikka rikollisryhmä ei ole vielä listannut Tietoevryä tietovuoto-sivustollaan, huoli mahdollisesta tietojen paljastumisesta on suuri. Maaliskuussa 2023 syntynyt Akira on yhdistetty useisiin onnistuneisiin hyökkäyksiin suomalaisia organisaatioita vastaan.
Suomen kansallinen kyberturvallisuuskeskus kertoi, että suurin osa viime kuussa tehdyistä hyökkäyksistä liittyi Akiraan, ja korosti ryhmän käyttäneen hyväkseen tunnettuja haavoittuvuuksia Cisco Adaptive Security Appliance- ja Firepower Threat Defense -laitteissa.
