Re: Psykoterapiakeskus Vastaamo tietomurron kohteena - kiristäjät vaativat 450 000 euroa!
Lähetetty: Ma Loka 26, 2020 8:40 pm
https://www.hs.fi/kotimaa/art-2000006700447.html
HS Kotimaa|Tietoturva
Oikeuspsykiatrin mielestä Vastaamo-kiristäjä rikkoo myös rikollisten kirjoittamattomia sääntöjä: ”Kertoo äärettömän pitkälle menevästä välinpitämättömyydestä”
”Vankien joukossa tämänkaltaista heikompien ihmisten hyväksikäyttöä paheksutaan. Näin ei vain käyttäydytä”, sanoo Vantaan psykiatrisen vankisairaalan ylilääkäri Alo Jüriloo.
Psykoterapiakeskus Vastaamon Pasilan-toimipiste Länsi-Pasilassa.KUVA: OUTI PYHÄRANTA / HS
Anne Kantola HS, Mikko Gustafsson HS
19:31
RIKOLLISILLAKIN on kirjoittamattomia sääntöjä, joita ei niin vain rikota. Näin kuitenkin näyttää tapahtuneen viime viikolla paljastuneessa tietomurrossa, uskoo Vantaan psykiatrisen vankisairaalan ylilääkäri Alo Jüriloo.
Psykoterapiakeskus Vastaamon tietomurto ja siitä seuranneet kiristysyritykset ovat Jüriloon mukaan poikkeuksellisen häikäilemättömiä.
”Kertoo äärettömän pitkälle menevästä välinpitämättömyydestä. Kyllä rikollisillakin on tietyt käyttäytymissäännöt. Niitä on tässä aika pahasti rikottu.”
Lue lisää: Tämä kaikki tietomurrosta tiedetään: Vastaamo tiedotti asiasta lähes kuukausi rikosilmoituksen jälkeen, krp:n tutkinnassa useita törkeitä rikosnimikkeitä
JÜRILOON mukaan Vastaamon kiristysjutussa kyse ei ole puhtaasti rahallisesta vahingosta, vaan ihmisille on aiheutettu valtava määrä kärsimystä.
”Vankien joukossa tämänkaltaista heikompien ihmisten hyväksikäyttöä paheksutaan. Näin ei vain käyttäydytä.”
Tapahtunutta voisi Jüriloon mukaan verrata jopa terroristiseen tekoon. Tätä puoltaa hänen näkemyksensä mukaan teon häikäilemättömyys, sen kohdistumisen heikommassa asemassa oleviin ja pyrkimys pelon herättämiseen. Teko myös asettuu kulttuurisääntöjen ulkopuolelle.
JÜRILOO ei halua lähteä pitkällisesti spekuloimaan oletetun tekijän profiililla.
”Puhutaan jostakin sen tyyppisestä teosta, jota ei ole aikaisemmin tehty. Mikä saa ihmisen menemään näin pitkälle?”
Jüriloon mukaan on loogisempaa ajatella, että teon taustalla on alunperin ollut yksi ihminen. Mikäli tekijä oli ryhmä, olisi siellä voinut nousta sisäisesti erilaisia mielipiteitä teon toteuttamisesta.
Tiedossa ei ole kuitenkaan sitä, onko kiristäjiä yksi tai useampia vai onko teko ollut jonkin ryhmän toteuttama. Viesteissään kiristäjä on käyttänyt me-muotoa, mistä ei voi itsessään tehdä paljoakaan johtopäätöksiä. Lisäksi viestejä on lähetetty sekä Vastaamolle että yksittäisille ihmisille. Esimerkiksi kiristyksen kohteen vaihtuessa myös kiristäjä on voinut myös vaihtua.
AIEMMIN kiristys kohdistui ainoastaan Vastaamoon, jolta vaadittiin noin 450 000 euron arvosta bitcoineja vastineeksi tietojen julkaisun lopettamisesta.
Tilanne kuitenkin muuttui viikonloppuna, kun useat Vastaamon tietomurron uhrit saivat lauantai-iltana sähköpostitse henkilökohtaisia kiristysviestejä.
Viesteissä ihmisiä kiristettiin maksamaan joitain satoja euroja virtuaalivaluutta bitcoineilla vastineeksi tietojen poistamisesta.
Keskusrikospoliisin tiedossa ei ole toistaiseksi, onko kiristysviestien takana alkuperäinen tietomurron tehnyt taho.
HS on nähnyt ihmisille viikonloppuna lähetettyjä kiristyssähköposteja. Ainakin osalle ihmisistä sähköposti on tullut kahdesti.
Yksi sähköpostin saaneista otti HS:ään yhteyttä huomattuaan ensimmäisessä sähköpostissa oudon piirteen.
Viestin lähettäjä oli ilmeisesti yrittänyt ohjata sähköpostin saajaa suomalaiseen bitcoin-ostopalveluun, mutta hyperlinkki oli kiinnittynyt viestin tekstiosuuteen ja itse linkki puuttui.
Runsas puoli tuntia myöhemmin saapui toinen viesti, johon oli korjattu oikea hyperlinkki.
”Millainen hakkeri sössii yksinkertaisen hyperlinkin? Oma fiilikseni oli viestin saatuani lähinnä ärsyyntynyt”, viestin saaja kertoo puhelimitse HS:lle.
MYÖS F-Securen tietoturvajohtajan mukaan kiristäjä voi olla yksittäinen ihminen tai ryhmä ihmisiä.
”Edelleen on täysin mahdollista, että siellä on vain yksi henkilö”, Erka Koivunen sanoo.
Koivusen mukaan F-Securen monikansallinen henkilöstö yhdisti ajatuksiaan ja tästä syntyi päätelmä siitä, että alkuperäisten kiristysviestien kirjoittaja tuskin oli suomenkielinen. Perusteena tietoturvayhtiön työntekijöiden ajattelulle ovat lauserakenteet ja muu kielellinen ilmaisu.
F-Securen tietoturvajohtaja Erka Koivunen kuvattuna vuonna 2017.KUVA: MARKKU ULANDER / LEHTIKUVA
”Moni teknonörtti on yllättävän huolimaton kielenkäyttäjä. Tämä [kiristäjä] taas käyttää kohtuullisen huoliteltua kieltä”, Koivunen sanoo.
Esimerkiksi yksi kiristyksen edetessä käytetty termi oli in the meanwhile – tällä välin. Termi herätti Koivusen mukaan huomiota ja viittaisi siihen, että kyse ei ole suomalaisesta kielenkäyttäjästä. Lisäksi termiä ei todennäköisesti käyttäisi myöskään alkuperältään yhdysvaltalainen henkilö.
Useiden vastaavien huomioiden takia F-Securen väelle syntyi kuva siitä, että kiristysoperaation taustalla tuskin on alkuperältään suomenkielinen henkilö.
VASTAAMON kiristämisen jälkeen kiristysyritykset alkoivat kohdistua asiakkaisiin.
Silti on mahdotonta sanoa, onko Vastaamon kiristäjä ja suomenkielisen kiristyskirjeen lähettänyt henkilö sama taho. Tämä johtuu siitä, että kiristettyjen tietoja ehti olla verkossa useita eriä. Perjantaina verkossa oli hetken aikaa myös sadan nimen tiedostoja isompi tiedosto, mistä pystyi lataamaan tietoja jonkin aikaa.
Suomenkielinen kiristyskirje oli kirjoitettu huomattavan hyvällä suomella, mutta Koivusen arvion mukaan siinäkin oli viitteitä käännetystä tekstistä.
Huomion kiinnitti se, että sinällään hyvällä suomella kirjoitetussa kirjeessä on englannille tyypillisiä ratkaisuja. Miehiä oli herroiteltu ja naisia rouviteltu, minkä lisäksi potilaita oli teititelty. ”Te” oli kirjoitettu lisäksi isolla t-kirjaimella, mikä olisi helpommin ymmärrettävä ratkaisu jossain muualla kuin Suomessa.
Potilaiden kiristäjä toimitti myös pikkutarkat ohjeet siitä, kuinka euroja muutetaan bitcoineiksi. Tästä voi Koivusen mukaan päätellä, että kiristäjä ei ole välttämättä ensimmäistä kertaa asialla. Sen sijaan massaviestien lähettäminen ei mennyt ensimmäisellä kerralla putkeen, joten Koivusen mukaan vastaavaa operaatiota kiristäjällä ei välttämättä ole aiemmin taustalla.
Lopulta kyse on aina todennäköisyyksistä ja spekulaatioista, kunnes varsinaista kovaa näyttöä henkilöiden taustasta saadaan.
KIRISTÄJÄN kielitaustasta on aiemmin esitetty myös toisenlaisia arvioita. Nämä tulivat esiin, kun HS kertoi tietomurtajan perässä olevista hakkereista.
Lue lisää: Poliisin lisäksi Vastaamon tietomurtajaa jahtaavat myös hakkerit – Jättikö terapia-aineistoa vienyt tietomurtaja itsestään ratkaisevia jälkiä vai onko kyse harhautuksesta?
Hakkerit selvittelivät tuolloin muun muassa sitä, voisivatko esimerkiksi jälkeen jääneet paikkatiedot ja Googlen numeromuotoinen käyttäjätunnus olla tietomurtajan vahingossa jättämiä jälkiä.
Myöhemmin esille on noussut myös arvioita, joiden mukaan tiedot voisivat kuitenkin liittyä pimeän Tor-verkon ja Ylilauta-sivuston tuottamaan ominaiseen dataan, jolla ei ole suoraa yhteyttä tietomurtajaan.
Tietoturva-alalla työskennelleet hakkerit ovat arvioineet jälkeä siistiksi, mutta eri vaiheissa käytetyt keinot eivät ole olleet heidän arvioidensa mukaan erityisen monimutkaisia.