F-Secure jäljittää Vastaamo-kiristäjää lunnasrahojen avulla – Hyppönen selittää, miten kiristäjän jäljille päästään: "Tekijä vaikuttaa oikukkaalta"

Tietoturvayhtiö F-Securen tutkimusjohtaja Mikko Hyppönen kehottaa kiinnittämään huomiota kiristäjän toimintaan tai lähinnä sen puutteeseen viime päivinä. Niin sanottu "Ransom man" on ollut hiljaa viime lauantaista lähtien. Silloin hän vielä pyöritti omaa sivustoaan Tor-verkossa, lähetti kiristysviestejä Vastaamon potilaille ja kirjoitti aiheesta keskustelufoorumeille.

– Sen jälkeen ei ole tapahtunut mitään. Tällä hetkellä emme tiedä, mikä seuraava liike on, vai onko "Ransom man" hävinnyt ja tuhoaa todistusaineistoa.

– Kiristäjä vaikuttaa oikukkaalta. Siitä kertoo se, että alussa hänellä oli kohteena yritys eli Vastaamo. Kun se ei tepsinyt, hän vaihtoi taktiikkaa ja alkoi kiristää asiakkaita. Eli ehkä taustalla ei ole mikään rutinoitunut kansainvälinen rikollisjengi, miltä "Ransom man" yritti aluksi vaikuttaa. Todennäköisesti kyseessä on yksittäinen kotimainen tekijä, Hyppönen sanoo.

Lue myös: Vastaamo on puhunut tietosuojastaan jo vuosia – miten emämoka potilastietojen kanssa tapahtui silti?

"Yleensä hyökkääjät tekevät virheitä"

KRP:n rikosylikomisario Tero Muurman kertoi keskiviikkona MTV:lle olevansa luottavainen tekijän kiinnisaamisesta.

Muurmanin mukaan tutkinta etenee, ja maan parhaat asiantuntijat on valjastettu mukaan. Hakkereiden kesken on arvioitu, että tekijä voisi hyvinkin päästä pälkähästä.

Mikko Hyppönen pitää sitä mahdollisena. Hän muistuttaa, että kiristäjä käyttää salaamiseen tarkoitettuja työkaluja kuten Tor-verkkoa, salattuja sähköposteja ja kryptovaluuttoja. 

– Mutta yleensä hyökkääjät tekevät virheitä ja siitä tutkimus koostuu, että nähdään, kuka siellä taustalla on. Suurimman virheensä kiristäjä teki perjantaina, kun hän vuoti julkisuuteen koko tämän tietokannan.

Lue myös: Vastaamo-kiristäjä valitsi taktisen hiljaisen hetken tietovuodolle - tiedot olivat Ylilauta-sivustolla jaossa tunnin

Kiristäjä on vaatinut uhreilta rahaa kryptovaluutta bitcoineina, jonka jäljittämistä pidetään erittäin vaikeana. Mikko Hyppönen on kuitenkin toista mieltä.

– Sen rahan liikkeitä voidaan kyllä seurata tiettyyn pisteeseen asti. Hyökkääjä varmaan tietää tämän ja yrittää jollain tavalla pestä rahoja puhtaaksi. Siksi olemme tänään pyytäneet kiristäjän kanssa kontaktissa olleita ja lunnaita maksaneita ihmisiä kertomaan, mihin osoitteeseen he ovat rahat maksaneet. Näin voisimme seurata, mihin rahat seuraavaksi menevät.

Poliisin tavoin myöskään tietoturvayhtiöt eivät halua kertoa liian tarkkaan, millä tavalla kiristäjää yritetään nyt jäljittää. Tietomurron selvittäminen on selvästi ylpeydenaihe monelle alalla toimivalle.

– Ei tässä nyt muuta tehdä. Tämä koskettaa kaikkia Suomen tietoturva-asiantuntijoita ja on aivan poikkeuksellinen tapaus. Mittakaava on sellainen, mitä ei ole nähty missään.

Lue myös: Tietoturva-alan tähtihakkeri Samin tiedot vietiin Vastaamo-kiristyksessä: "Kamalin keissi, mitä olen nähnyt, vaikka paljon olen nähnyt" – kertoo nyt, miten tekijää jahdataan