Kyberturvallisuus
Hyväksytty lunnaat: 5 julkista yritystä, jotka maksoivat kyberhyökkääjille
Yhä useampi organisaatio kokee kiristyshaittaohjelmahyökkäyksen. Sophosin mukaan 59% organisaatioista koki sellaisen vuonna 2024, ja suurin osa niistä (70%) johti tietojen salaukseen.
Ei pelkästään kiristyshaittaohjelmahyökkäysten määrä, vaan myös maksujen suuruus on noussut. Keskimääräinen kiristyspalkkio oli alle $200k vuonna 2023, mutta se nousi 650 % noin $1.5 millioniin vuoden aikana IBM:n tietojen mukaan.
Näiden hyökkäysten arvioidaan aiheuttavan $275 billion globaalisia vahinkoja vuosittain vuoteen 2031 mennessä. Joten, mitä kiristyshaittaohjelmahyökkäykset ovat?
Kiristyshaittaohjelma on eräs haittaohjelmatyyppi, jonka tarkoituksena on estää organisaatiota pääsemästä järjestelmäänsä tai salata sen tiedot.
Tämän saavuttamiseksi hyökkääjät infektoivat järjestelmän viruksella, jota he käyttävät lähettääkseen tietojenkalastelusähköposteja, jotka voivat sisältää haitallisen linkin tai varastaa työntekijän kirjautumistiedot saadakseen luvattoman pääsyn yritysverkkoon.
Vaihdettaessa salausavaimia tai järjestelmän palauttamista, kyberrikolliset vaativat uhreilta lunnaat. Organisaatiot joutuvat vaikeaan tilanteeseen, jossa lunnaiden maksaminen vaikuttaa helpoimmalta ja kustannustehokkaimmalta tavalta saada pääsy takaisin.
Jotkut kiristyshaittaohjelmavariantit ovat lisänneet toiminnallisuutta, kuten tietojen varastamista, mikä antaa lisäsyyn maksaa lunnaat. Mutta joissakin korkean profiilin tapauksissa lunnaiden maksaminen voi itse asiassa olla vähiten vahingollinen vaihtoehto, riskistä huolimatta.
Yritykset, jotka maksoivat lunnaat suojellakseen asiakkaitaan

Vaikka hyökkääjien vaatimuksiin suostuminen ja lunnaiden maksaminen ei ole ihanteellinen tapa käsitellä kyberrikoksia, sillä se ei takaa varastettujen tietojen turvallista palautusta tai organisaation toiminnan palautumista, ja se myös kannustaa lisäkyberhyökkäyksiin, joskus ei ole muuta vaihtoehtoa suojata liiketoimintaa ja asiakkaita.
Tämän jälkeen tarkastellaan joitakin kaikkein korkean profiilin kyberrikoskeissejä, joissa yritykset maksoivat lunnaat ja mitä sen jälkeen tapahtui.
1. CNA Financial Corp (CNA )
Yksi Yhdysvaltojen suurimmista vakuutusyhtiöistä, CNA Financial Corp., joutui kiristyshaittaohjelmahyökkäyksen kohteeksi maaliskuussa 2021. Se maksoi lunnaat $40 million Bitcoinissa (BTC), mikä on tähän mennessä suurin julkisesti ilmoitettu kiristyspalkkio, saadakseen hallinnan takaisin kahden viikon järjestelmälukituksen jälkeen.
Hyökkäyksen toteutti kyberrikollisryhmä nimeltä Phoenix, joka alun perin vaati lunnaat 999 BTC:n (noin $55 millionia tuolloin) puolesta ennen kuin nosti summan 1099 BTC:iin, väittäen:
“Ajan tuhlaus. Kustannus nousi.”
Hyökkääjät väittivät, että heillä oli tärkeää dataa ja että “Se iskee kovasti, jos se vuotaa.” Lunnaita vaadittiin vastineeksi siitä, ettei varastamista julkisteta, dataa palautetaan, varastetun datan kopiot poistetaan ja kaikki palautetaan.
Mutta miten tarkalleen ohi tapahtui? Se johtui pienestä turvallisuusvirheestä, joka johti näin merkittävään tapaukseen. Hyökkääjät saivat yhden CNA:n työntekijän hyväksymään väärennetyn selaimen päivityksen. He toimivat nopeasti järjestelmän lamauttamiseksi, eikä hyökkäystä voitu havaita heti.
Kävi niin, että CNA:n kesti muutama viikko huomata, että se oli hakkeroitu. Tänä aikana hyökkääjät varastivat asiakastiedot ja lukitsivat CNA:n pois verkostostaan.
Yritys ei myöskään antanut päivitystä ennen kuin viikko hyökkäyksen jälkeen. Sitten se julkaisi päivityksen, jossa selitettiin, että hyökkäys oli saatu hallintaan ja että työskennellään normaalin liiketoiminnan jatkamisen parissa. Kaksi viikkoa myöhemmin kerrottiin, että päätepisteiden havaitsemis- ja valvontatyökalut oli otettu käyttöön palautusprosessin osana.
Kaksi kuukautta hyökkäyksen jälkeen CNA julkaisi tapahtumaraportin, jossa todettiin, ettei kyseessä ollut kohdistettu hyökkäys. Kun kiristyshaittaohjelma havaittiin, yritys katkaisi järjestelmänsä verkosta estääkseen uhan leviämisen.
Muutaman kuukauden kuluttua vakuuttaja ilmoitti, että sen tutkinta oli päättynyt, ja siitä kävi ilmi, että uhkatoimija kopioi tietoja ennen kiristyshaittaohjelman käyttöönottoa, mutta ne palautettiin nopeasti, eikä “ole syytä epäillä, että tietoja on tai tullaan väärinkäyttämään.”
Chicagon pääkonttorissa toimiva vakuutusholdingyritys neuvotteli myös hallituksen kanssa, mukaan lukien FBI ja Office of Foreign Assets Control (OFAC), hyökkäyksestä. Lausunnossa se totesi: “CNA noudatti kaikkia lakeja, säädöksiä ja julkaistuja ohjeita, mukaan lukien OFAC:n vuoden 2020 kiristyshaittaohjelmaohjeistus, käsitellessään tätä asiaa,” mutta ei kommentoinut lunnaita.
Tämän ohjeistuksen mukaan virasto voi määrätä siviilirangaistuksia Yhdysvaltain henkilöille, jotka maksavat maksun kielletyille tahoille.
Yrityksen tutkimus paljasti, että uhkaryhmä nimeltä Phoenix käytti Phoenix Cryptolocker -kiristyshaittaohjelmaa hyökätäkseen sen verkkoon. Tuolloin ryhmä ei ollut Yhdysvaltain pakotteiden alaisena.
(CNA )
CNA on $13 billion markkina-arvoinen yhtiö, jonka osakkeet kaupankäynnissä ovat $48.16, laskien 0.43 % kuluvan vuoden alusta (YTD) mutta noussut 32.27 % viimeisen kahden vuoden aikana. EPS (TTM) on 3.28, P/E (TTM) on 14.67 ja ROE (TTM) on 8.98 %. CNA:n osakkeenomistajat nauttivat myös kohtuullisesta 3.82 % osinkotuotosta.
Sen viimeisimmän neljänneksen taloustiedot osoittavat nettotuloksen $274 million ja ydinliikevoiton $281 million.
2. Caesars Entertainment (CZR )
Kasino-viihdeyritys maksoi $15 million lunnaana kyberrikollisryhmälle nimeltä Scattered Spider, samalle uhkatoimijalle, joka kaatoi MGM:n tietokonejärjestelmän vain muutaman päivän kuluttua Caesars Entertainmentin lunnaiden maksamisesta. Hyökkääjät vaativat myös lunnaat MGM:ltä, mutta he eivät maksaneet.
Caesarsin tapauksessa, kuten Yhdysvaltain arvopaperi- ja pörssikomission (SEC) tiedossa, hyökkääjät vaativat $30 million lunnaat, mutta yritys suostui maksamaan vain puolet tästä, mikä osittain katettiin yrityksen kybervakuutuksilla. Yritys ei odottanut maksun tai sen seurauksien vaikuttavan merkittävästi sen tulokseen.
Hyökkäys tapahtui elokuun puolivälissä 2023, ja sen toteutti Scattered Spider, myös tunnettu nimellä UNC3944 tai Roasted 0ktapus. Ryhmä koostuu nuorista hakkeriistä Yhdysvalloissa ja Yhdistyneessä kuningaskunnassa, jotka ovat taitavia sosiaalisessa manipuloinnissa, ja se on liitetty hyökkäyksiin muihin yrityksiin, kuten Cloudflare, Twilio ja Okta.
Kohdistuakseen Caesarsiin hakkerit murtautuivat ensin ulkoiseen IT-toimittajaan. Tässä hyökkääjät esiintyivät Caesarsin työntekijänä ja saivat toimittajan antamaan kirjautumistiedot Oktaan, Caesarsin pääsynhallintapalveluun.
Tämä antoi kyberrikollisille luvattoman pääsyn hotellin ja kasinon jättiläisen verkkoon. He varastivat Caesarsin kanta‑asiakasohjelman jäsenten tiedot, jotka sisälsivät ajokortit ja sosiaaliturvatunnukset, ennen kuin he käyttivät BlackCat/ALPHV‑kiristyshaittaohjelmaa. Yritys totesi, ettei ole todisteita siitä, että hyökkääjät olisivat päässeet PIN-koodeihin, salasanoihin, pankkitileihin tai maksukorttitietoihin.
Reuters puolestaan raportoi, että Scattered Spider -hakkeriryhmä sanoi että he ottivat kuusi teratavua dataa Caesarsin ja MGM:n järjestelmistä.
“Olemme ryhtyneet toimenpiteisiin varmistaaksemme, että luvaton toimija poistaa varastetut tiedot, vaikka emme voi taata tätä tulosta.”
– Caesars sanoi tiedossa
Vaikka yritys ei paljastanut, kuinka monta asiakasta vaikutti, tiedossa mainittiin hieman alle 42 000 ihmistä. Silloin Bloomberg raportoi, että Caesars maksoi lunnaat sen jälkeen, kun uhkaryhmä hakkeroi sen ja uhkasi julkaista yrityksen tiedot.
Syyskuun loppuun mennessä yritys oli palauttanut normaalin toiminnan. Kuitenkin jälkimainingeissa Caesars kohtasi taloudellista ja mainehaittaa sekä useita ryhtymiskanteita, jotka syyttävät yritystä huolimattomuudesta ja perusteettomasta rikastumisesta, koska se ei suojannut vieraidensa henkilökohtaisia tietoja.
(CZR )
Yli 6 billion markkina-arvolla, CZR:n osakkeet kaupankäynnissä ovat $29.41, laski 12 % tänä vuonna. Sen osakekurssi on myös kaukana vuoden 2021 huippuarvosta, noin $119. EPS (TTM) on -1.10 ja P/E (TTM) on -26.80.
Yrityksen taloustietojen osalta GAAP-nettotulot Q1 2025 olivat $2.8 billion ja säädetty EBITDA kasvoi 4 % vuosi vuodelta $43 million “merkittävien kasvujen” ansiosta sen Digitaalisen segmentin osalta.
3. Blackbaud Inc. (BLKB )
Vuonna 2020 kyberrikolliset murtautuivat Blackbaudin palvelimiin, yritykseen, joka tarjoaa ohjelmistoja voittoa tavoittelemattomille organisaatioille ja oppilaitoksille, ja vaarasivat yli 13 000 organisaation tiedot. Eteläkärken South Carolinan yritys maksoi $235,000 BTC:n lunnaat hakkerille lupauksena poistaa henkilökohtaiset asiakastiedot.
Kyberhyökkäys tapahtui tuona helmikuussa, mutta se ei havaittu ennen muutamaa kuukautta myöhemmin toukokuussa. Silloin vaikutusyritykset olivat jo käsittelemässä COVID‑19‑pandemian aiheuttamia häiriöitä.
Kyberrikolliset kohdistivat hyökkäyksensä Blackbaudin palvelimiin saadakseen pääsyn yrityksen järjestelmään. Koska Blackbaud ei ollut tietoinen murrosta, hyökkääjät pystyivät toimimaan havaitsematta kuukausien ajan, jolloin he salasivat tietojoukkoja ja poimivat osan niistä.
Kun asiakkuudenhallintapalvelujen (CRM) tarjoaja lopulta havaitsi murroksen, mikä tapahtui Blackbaudin suorittaessa rutiininomaisia turvallisuustarkastuksia, se toteutti toimenpiteitä estääkseen lisävahingot.
Heinäkuussa yritys teki julkisen ilmoituksen kiristyshaittaohjelmahyökkäyksestä. Blackbaud ilmoitti, että koulutus- ja kolmannen sektorin organisaatioiden tiedot saattoivat olla vaarantuneet, mikä tietenkin aiheutti järkytystä vaikutusalueilla ja herätti huolta arkaluonteisten lahjoittajatietojen turvallisuudesta.
Yritys esti rikollisia salaamasta tiedostoja kokonaan ja estämästä järjestelmän pääsyä, mutta he olivat jo poineet varmuuskopiotiedoston, joka sisälsi henkilökohtaisia tietoja.
Blackbaud vakuutti, että pankkitili- tai maksukorttitiedot eivät olleet vaikuttuneet, mutta että suuri määrä tietoa, kuten nimet, osoitteet, yhteystiedot, sosiaaliturvatunnukset ja arvioitu varallisuus, olivat todellisuudessa osallisina tietomurrossa.
Yritys myönsi myös maksaneensa lunnaat saadakseen tiedot takaisin ja suojellakseen asiakkaidensa etuja.
Hyökkäyksen jälkeen Federal Trade Commission (FTC) aloitti tutkinnan ja uskoi sen johtuneen “Blackbaudin huonosta turvallisuudesta ja tietojen säilytyskäytännöistä.”
FTC:n valituksessa yrityksen väitetään laiminlyöneen perus turvallisuuskäytännöt, laiminlyöneen Blackbaudin omia tietojen säilytyspolitiikkoja ja sallineen asiakkaiden tallentaa kriittisiä tietoja, kuten pankkitilejä, salaamattomiin kenttiin. Virasto väitti myös, että Blackbaud esitti merkittävästi virheellisesti tapahtuman laajuuden ja vakavuuden.
Vuonna 2024 FTC ja Blackbaud saavuttivat sovinnon, joka ei sisältänyt taloudellista rangaistusta, vaan vaati yritystä poistamaan tarpeettomat tiedot, kehittämään kattavan tietoturvaohjelman ja ilmoittamaan FTC:lle mahdollisesta tulevasta tietomurrosta.
Blackbaudin sovinto SEC:n kanssa sisälsi kuitenkin 3 million dollarin sakon harhaanjohtavien tietojen antamisesta tietomurrosta. Yritys sopi myös $49.5 million 50 osavaltion syyttäjän kanssa HIPAA‑rikkomuksista.
(BLKB )
Mitä tulee Blackbaudin markkinasuoritukseen, sen osakkeet kaupankäynnissä ovat $63.76, laski 13.74 % YTD, mikä asettaa sen markkina-arvoksi $3 billion. EPS (TTM) on -5.83 ja P/E (TTM) on -10.94.
Q1 2025 yritys saavutti 5.8 % orgaanisen liikevaihdon kasvun, kirjaten $271 million liikevaihtoa. Blackbaud investoi myös innovaatiotoimintaan, erityisesti tekoälyyn, lisätäkseen sisäistä tuottavuutta ja asiakasoperaatioita.
4. UnitedHealth Group (UNH )
Terveysvakuutusjätti UnitedHealth Group Incorporated on kokenut vaikeita aikoja viimeisen puolentoista vuoden aikana. Kaikki alkoi helmikuussa 2024, kun sen tytäryhtiö Change Healthcare koki kyberhyökkäyksen.
UnitedHealth Group toimii kahden segmentin kautta: UnitedHealthcare, joka keskittyy terveysvakuutuksiin, ja Optum, joka tarjoaa teknologiapalveluita, suoria terveyspalveluita ja apteekkipalveluita Optum Insightin, Optum Healthin ja Optum Rx:n kautta.
Vuonna 2022 UnitedHealthGroup hankki Change Healthcare -alustan ja integroidi sen Optum Insightiin. Yritys käsittelee jopa 15 billion lääketieteellistä korvausvaatimusta vuodessa, mikä on noin 40 % kaikista vaatimuksista, joten voit kuvitella, millaista häiriötä Change Healthcare -hyökkäys voi aiheuttaa.
Helmikuussa kiristyshaittaohjelma infektoi Change Healthcare:n järjestelmät, tehden ne käyttökelvottomiksi ja aiheuttaen kaaosta Yhdysvaltain terveydenhuoltojärjestelmässä. Vasta useita kuukausia myöhemmin, marraskuussa, yritys pystyi jatkamaan täyttä toimintaansa.
Mitä tapahtui, entinen toimitusjohtaja Andrew Witty kertoi kongressille, että hyökkäys alkoi 12. helmikuuta. Hyökkääjät käyttivät vaarantuneita kirjautumistietoja päästäkseen Change Healthcare -Citrix‑portaaliin, jota käytettiin etätyöpöytäyhteyksiin eikä siinä ollut kaksivaiheista tunnistautumista. Pieni virhe, joka maksaisi UNH:lle miljardeja.
Sen jälkeen hyökkääjät alkoivat kerätä dataa ja muutaman päivän kuluttua käyttivät kiristyshaittaohjelmaa, aloittaen yrityksen järjestelmien salauksen. Vastauksena UnitedHealth katkaisi Change Healthcare -datakeskusten yhteyden verkkoon estääkseen kiristyshaittaohjelman leviämisen muihin järjestelmiinsä ja ulkopuolisiin tahoihin.
Hyökkääjien osalta BlackCat/ALPHV -kyberrikollisryhmä otti vastuulleen, väittäen poimineensa 6 TB luottamuksellista dataa. Varastettu data sisälsi lääketieteellisiä tietoja, henkilökohtaisia tietoja ja talousasiakirjoja. UnitedHealth Group on julkisesti vahvistanut, että noin 190 milliona henkilöä vaikutti tähän tietomurtoon.
Marraskuussa 2024 yritys maksoi $22 million lunnaat, mutta BlackCat‑kiristyshaittaohjelma-ryhmä ei ilmeisesti maksanut hyökkäyksen toteuttaneelle affiliate‑yritykselle, joka sitten teki yhteistyötä toisen kiristyshaittaohjelma‑ryhmän, RansomHubin, kanssa, joka yritti kiristää lisää rahaa UnitedHealthilta. Ei vielä tiedetä, maksoiko UnitedHealth myös toisen kerran.
Tapaus, jonka UnitedHealth Group raportoiti tammikuussa 2025, aiheutti yhteensä $3.09 billion vuotuisen menetyksen.
Vaikka yritys jatkaa suurimman terveydenhuollon historian kyberhyökkäyksen jälkiseurien käsittelemistä, yhtiön osakkeet eivät juuri tunteneet sen vaikutusta, sillä UNH‑osake saavutti historiallisen huippunsa $625 per osake marraskuussa 2024 ja markkina-arvo $575 billion.
(UNH )
Mutta nyt, kuusi kuukautta myöhemmin, kaikki romahtaa. UnitedHealthin osakekurssi, jonka markkina-arvo on $292 billion, on laskenut 36.43 % YTD. Se kaupankäynnissä on $321.58, 49 % pudotus sen historiallisen huippuarvosta.
Kyberhyökkäyksen odotettua suuremman vaikutuksen lisäksi yritys on kamppaillut johdon menetyksen kanssa, kun UnitedHealthcare‑toimitusjohtaja Brian Thompson kuoli sijoittajapäivänä New Yorkissa, yritys jäi tulojen osalta jälkeen, ja oikeusministeriö on käynnistänyt rikostutkinnan UHG:n Medicare Advantage -käytännöistä.
Tarkastellessa yrityksen kannattavuutta ja tehokkuutta, sen EPS (TTM) on 23.89, P/E (TTM) 13.46 ja ROE (TTM) 24.33 %, kun taas osinkotuotto on 2.61 %. Q1 2025 sen liikevaihto kasvoi $109.6 billion, ja kassavirta toiminnasta oli $5.5 billion.
5. AT&T (T )
Johtava maailmanlaajuinen telekommunikaatio- ja teknologiapalvelujen tarjoaja kärsi kahdesta merkittävästä tietomurrosta vuonna 2024.
Ensimmäinen tapahtui maaliskuussa, ja se vaikutti 50–70 milliona nykyisiin ja entisiin asiakkaisiin. Yrityksen tiedon kiertämisestä dark webissä raportoitiin kesä‑maaliskuussa, ja AT&T käytti muutaman viikon tarkistaakseen, että tiedot todella kuuluvat sen asiakkaille.
Kompromettoituun tietoon sisältyi asiakkaiden koko nimi, syntymäaika, sähköposti, puhelinnumero, postiosoite, sosiaaliturvatunnus sekä AT&T‑tilinumero ja -salakoodi. Yritys kertoi seuraavaa vaikutetuille henkilöille:
“Parhaan tietämyksemme mukaan henkilökohtaisia taloustietoja ja puheluhistoriaa ei sisältynyt.”
Uskotaan, että tiedot ovat kiertäneet verkossa jo muutaman vuoden, mutta niiden alkuperä on tuntematon, ja AT&T kiistää, että ne olisivat peräisin sen omista järjestelmistä.
Sitten huhtikuussa se joutui uhriksi tietomurrolle, joka vaaransi lähes kaikki kiinteälinja-, matkapuhelin- ja langattoman verkon asiakkaat. Muutamaa kuukautta myöhemmin, heinäkuussa, AT&T julkisti tietomurron.
Tämä tietomurto yhdistettiin amerikkalaiseen hakkeriin, ShinyHunters‑ryhmän jäseneseen, joka vaati $1 million lunnaat, mutta suostui paljon vähempään. Yritys maksoi $370,000 lunnaat Bitcoinissa toukokuussa estääkseen tiedon vuotamisen. Hyökkääjä toimitti yritykselle videon, jossa todistettiin tiedon poistaminen.
Tässä hyökkäyksessä varastettiin asiakkaiden puhelu- ja tekstiviestitiedot 2. tammikuuta 2023 sekä 1. toukokuuta 2022 – 31. lokakuuta 2022 väliseltä ajalta. Tällä kertaa data oli peräisin yrityksen ‘työtilasta’ kolmannen osapuolen pilvialustalla.
Vaikka itse sisältö ei ollut vahingoittunut, kompromettoituneet tiedot voivat paljastaa muita puhelinnumeroita, joiden kanssa vaikutetut asiakkaat olivat yhteydessä, yritys selitti. AT&T ilmoitti noin 110 million asiakkaalle tapahtuneesta.
Kirjoitushetkellä 200 billion markkina-arvoisen yrityksen osakkeet kaupankäynnissä ovat $27.78, noussut 22 % YTD. EPS (TTM) on 1.63, P/E (TTM) 17.04 ja ROE (TTM) 11.28 %. Tarjottu osinkotuotto on houkutteleva 4 %.
(T )
Taloudellisesti sen liikevaihto Q1 2025 oli $30.6 billion, nettotulos $4.7 billion ja vapaa kassavirta $3.1 billion.
Kuten näimme, kiristyshaittaohjelmahyökkäykset koskettavat yrityksiä eri toimialoilla. Vaikka lunnaiden maksaminen voi auttaa suojaamaan yritystä ja sen asiakkaita, se ei ole aina näin. Se itse asiassa kannustaa rikollista toimintaa. Puhumattakaan siitä taloudellisesta ja mainehaitasta, jonka se aiheuttaa yritykselle.
Yritysten on toteutettava proaktiivisia turvallisuustoimenpiteitä estääkseen tietomurrot alun perin. Tämä sisältää säännölliset turvallisuusarvioinnit, jatkuvan uhkien seurannan, järjestelmien päivittämisen, tietojen varmuuskopioinnin ja tiedostojen suojaamisen, vahvan tietojen salauksen käyttöönoton, asianmukaisen henkilöstökoulutuksen sekä tehokkaan incident‑response‑valmiuden ylläpitämisen.
Lopulta todellinen puolustus kiristyshaittaohjelmia vastaan ei ole neuvottelu vaan valmistautuminen, joten kannattaa investoida kyberturvallisuuden resilienssiin jo tänään!
Klikkaa tästä saadaksesi listan parhaista kyberturvallisuustuotteista.












