Konepajayhtiö Wärtsilän ja Suomen Tietotoimiston STT:n verkkohyökkäyksistä vastuun ottanut verkkorikosryhmä LV on saattanut itse joutua kyberhyökkäyksen kohteeksi.
Kiristyshaittaohjelmallaan hyökkäyksiä tehneen ryhmittymän blogisivusto on pimeässä Tor-verkossa ollut syyskuussa useita viikkoja poissa käytöstä, ja ryhmän passiivisuus on huomattu myös tietoturvapiireissä. Tietoturvayhtiö Cyber Intelligence Housen toimitusjohtajan Mikko Niemelän mukaan LV:n vuotosivusto on joutunut palvelunestohyökkäyksen kohteeksi. Hänen mukaansa vastaavaa on tapahtunut myös muiden pimeässä verkossa olevien rikollisten sivuilla.
– Kysymys kuuluukin, ovatko he keskenään sotimassa siellä vai onko siellä joku, joka on vähän kaikkia vastaan. Esimerkiksi uusi pelaaja, joka on tulossa markkinoille. Sekin on mahdollista, Niemelä kertoo.
Tietoturvayhtiö WithSecuren tutkimusjohtaja Mikko Hyppönen on myös huomannut, että sekä LV:n vuoto- että maksusivusto ovat olleet suljettuina usean viikon ajan. Hyppösen mukaan palvelunestohyökkäys on mahdollinen, mutta hän ei pysty vahvistamaan sitä.
– Se on täysin mahdollista, mutta sitten se (sivusto) on ollut aika pitkään DoS:n (palvelunestohyökkäyksen) alla. Melkein kuukauden, kolme viikkoa ainakin, sanoo Hyppönen.
Palvelunestohyökkäyksessä verkkosivusto tukitaan kohdistamalla niin paljon verkkoliikennettä, ettei se toimi kunnolla.
Lue myös: Suomeen kohdistuneiden kyberhyökkäysten määrä on Traficomin mukaan lisääntynyt
Verkkohyökkäys kiristyshaittaohjelmalla
LV-niminen ryhmä teki kesällä kaksi kiristyshaittaohjelmahyökkäystä suomalaisia yrityksiä kohtaan. Niistä ensimmäinen kohdistui heinäkuussa Wärtsilään, ja heinäkuun lopussa STT:tä vastaan hyökättiin.
Helsingin poliisi tutkii STT:hen kohdistuvaa hyökkäystä nimikkeillä tietomurto ja tietojärjestelmän häirintä. Poliisin esitutkinta on kesken, eikä tutkinnanjohtajalla, rikoskomisario Jukkapekka Risulla ole tutkintaan uutta kommentoitavaa.
Toistaiseksi on epäselvää, jatkaako LV yhä toimintaansa. Aiemmin ryhmittymä on julkaissut pimeässä verkossa listauksen yrityksistä, joita se on hakkeroinut. Listaus ei ole päivittynyt elokuun lopun jälkeen, ja lopulta ryhmän sivusto hävisi. Sivustolla ryhmä myös uhkasi julkistaa haltuunsa saamia yritysten tietoja, jollei sen vaatimia lunnaita maksettu.
Koska sivusto on ollut pitkään alhaalla, ei ryhmä ole myöskään julkistanut uusia uhkauksia. Cyber Intelligence Housen Mikko Niemelä pitää mahdollisena, että palvelunestohyökkäyksen taustalla on ryhmän kilpailija. Hänen mukaansa kyberrikoksia tekevät ryhmät ovat aiemmin yrittäneet myös hakkeroida toisiaan.
– Vaikuttaisi enemmän siltä, että se on vastapuoli, koska ne (LV) on menettänyt sellaista tietoa, mistä muuten olisi saanut rahaa, Niemelä sanoo.
Niemelä ei pidä todennäköisenä sitä, että alasajo johtuisi viranomaisten toiminnasta. Hän perustelee sitä sillä, että palvelunestohyökkäys aiheuttaa ryhmälle ainoastaan tilapäistä haittaa.
WithSecuren Hyppösenkään tiedossa ei ole, että sivuston sulkemisen taustalla olisi viranomaisten toiminta.
– Totta kai se on mahdollista, mutta ei ole mitään tietoja, että kyse olisi siitä, hän sanoo.
Rikoskomisario Risu ei kommentoi sitä, onko sivuston sulkemisen taustalla viranomaistoimintaa.
Lue myös: STT kertoi lisätietoja, millaisen hyökkäyksen kohteeksi se joutui – Tor-verkossa ilmottautunut tekijä iski myös Wärtsilään
"Ei voida sanoa, että olisi mitenkään kadonnut"
Toistaiseksi on avointa, onko LV:n passiivisuus ainoastaan tilapäistä vai pysyvää.
– Tällä hetkellä ei voida sanoa, että (LV) olisi mitenkään kadonnut, sanoo Mikko Niemelä.
Toisaalta kyberrikosalalla ryhmät voivat myös hajautua osaksi muita ryhmiä. Näin on WithSecuren tutkimusjohtajan Hyppösen mukaan käynyt aiemmin.
LV:llä ja tunnetulla venäläisellä Revil-kiristyshaittaohjelmaryhmällä on osittainen kytkös, koska LV:n käyttämä haittaohjelmisto pohjautuu Revilin ohjelmiston koodiin. Revil on LV:n hiljaiselon aikana julkistanut hyökänneensä kiinalaiseen elektroniikka-alan yhtiöön Midea Groupiin, joka valmistaa muun muassa Toshiba-merkin kodinkoneita.
Mikko Hyppösen mukaan mitään viitteitä siitä, että Revilin ja LV:n viimeaikaisen aktiivisuuden välillä olisi yhteyttä, ei ole. Hänen mukaansa on mahdollista, että LV yksinkertaisesti lopetti toimintansa.
– Joko ryhmä on ottanut rahat ja hävinnyt tai mennyt osaksi muita ryhmiä, sanoo Hyppönen.