Yksi maailman haitallisimmista verkkokiristysryhmistä pyörittänyt palvelinta Suomessa

Tieto ilmenee Euroopan poliisiviranomaisen Europolin tiedotteesta, joka kertoo viranomaisten Lockbit-kiristyshaittaohjelmaryhmään kohdistamasta poliisioperaatiosta.

Lockbit-ryhmä joutui tällä viikolla kansainvälisen poliisioperaation kohteeksi, minkä seurauksena viranomaiset saivat useita ryhmän käyttämiä palvelimia ja pimeän verkon sivustoja haltuunsa. 

Lisäksi eri maiden viranomaiset ovat ottaneet operaatioissa epäiltyjä kiinni ja julkaisseet etsintäkuulutuksia ihmisistä, joiden uskotaan toimivan ryhmän osana.

Yhdysvaltalaisviranomaiset ovat myös luvanneet jopa miljoonien dollareiden vinkkipalkkioita tiedoista, jotka voivat johtaa ryhmän pääepäiltyjen kiinni ottamiseen.

Europolin mukaan operaatioissa otettiin haltuun kaikkiaan 34 Lockbitin käyttämää palvelinta eri maista, ja yhtenä maana mainitaan Suomi. 

Europol on myös kertonut Suomen poliisin osallistuneen operaatioon. Julkisuuteen ei kuitenkaan ole kommentoitu sitä, kuinka monta palvelinta Suomesta otettiin haltuun.

Analyytikko: Ei viitteitä suomalaisjäsenistä

Tietoturvayhtiö Withsecuren vanhempi uhka-analyytikko Stephen Robinson kertoo STT:lle sähköpostitse, että viranomaisten tietojen perusteella näyttää siltä, että Lockbit toimi Suomessa. Hän kuitenkin muistuttaa, että palvelimia voi helposti vuokrata käyttämällä vaikkapa varastettuja henkilötietoja.

– Vielä ei ole viitteitä siitä, että yksikään Lockbitin jäsen tai yhteistyökumppani olisi fyysisesti Suomessa, Robinson kirjoittaa.

Hänen mukaansa todennäköisin syy Suomessa pidettyyn palvelimeen on, että paikallinen palvelin on voinut helpottaa Lockbitia kohdentamaan uhreja Suomessa ja lähimaissa. 

Esimerkiksi tiedostojen siirto palvelimilta vaikka Venäjälle olisi Robinsonin mukaan uhreista huomattavasti epäilyttävämpää kuin se, että tiedonsiirto kohdistuu Suomeen.

Keskusrikospoliisi ei kommentoi STT:lle tarkemmin operaation yksityiskohtia.

Myös suomalaisuhreja

Suomalaisuhreja on myös ollut. 

Lockbit on omassa blogissaan aikanaan julkaissut tiedon, että ryhmä on ollut Savonia-ammattikorkeakouluun ja Uudellamaalla toimivaan kylmävarastoyritys KWH Freezeen kohdistettujen hyökkäysten takana. 

Molemmat tahot ovat myös vahvistaneet joutuneensa verkkohyökkäyksen kohteiksi: Savonia vuonna 2022, KWH Freeze puolestaan viime syksynä.

KWH Freeze tiedotti viime marraskuussa, että osa sen nykyisten ja entisten työntekijöiden henkilötiedoista on voinut vaarantua hyökkäyksessä. Yhtiön tekemän tietoturvaloukkausilmoituksen perusteella hyökkäys vaaransi muutaman sadan ihmisen tiedot. Toimitusjohtaja Peter Lång ei kommentoi STT:lle vaarantuneita tietoja tarkemmin mutta kertoo, että yhtiö teki hyökkäyksestä aikanaan rikosilmoituksen.

Hänen mukaansa yhtiön toiminta ei vaarantunut hyökkäyksen vuoksi, mutta hyökkäyksen jälkiselvitys on hänen mukaansa paitsi maksanut paljon, myös sitonut osaa yhtiön henkilökunnasta.

– Rikosvastuuseen ne kaverit pitää saada, Lång sanoo.

Yhdysvallat pitää venäläisenä ryhmänä

Lockbit-ryhmää on pidetty yhtenä maailman aktiivisimmista ja myös tuhoisimmista verkkokiristyshyökkäyksiä tekevistä ryhmistä. Withsecuren Robinson arvioi ryhmän vastanneen noin viidenneksestä kaikista kiristyshaittaohjelmalla tehdyistä hyökkäyksistä. 

Yhdysvaltain kyberturvallisuusviraston (CISA) mukaan ryhmä on tarjonnut kiristyshaittahyökkäyksiä maksua vastaan. 

Ryhmä aloitti toimintansa tämän vuosikymmenen vaihteessa, mutta nyt viranomaiset ovat saaneet sen palvelimia ja tietoja haltuunsa. Robinson pitää mahdollisena, että viranomaiset ovat soluttautuneet ryhmän tietojärjestelmiin hyödyntämällä vastaavankaltaisia haavoittuvuuksia kuin mitä ryhmä itse on käyttänyt hyökätessään muihin.

Viranomaisten mukaan ainakin osa epäillyistä avaintekijöistä on venäläisiä, mutta epäiltyjen joukossa on myös muita kansallisuuksia. 

Yhdysvaltojen valtiovarainministeriö on kuvannut Lockbitia venäläiseksi ryhmittymäksi, ja kaksi ryhmän epäiltyä johtajaa on asetettu talouspakotteiden piiriin.

Yhdysvaltain liittovaltion poliisi FBI, Britannian kansallinen rikosvirasto NCA sekä Europol pyytävät myös Lockbit-ryhmän uhreja olemaan yhteydessä, jotta uhrit voivat saada takaisin ryhmän heiltä viemiä tietoja.