Laillinen IT-tukiohjelma, haitallinen tarkoitus: VENOMOUS#HELPER iski yli 80 yritykseen
Hyökkääjät käyttävät allekirjoitettuja ja täysin laillisia etähallintaohjelmia, jotka virustorjunta päästää ohi ilman varoitusta. Päämääränä ei ole kertarosvous, vaan pitkäkestoinen jalansija organisaation verkossa.
Tiivistelma
Securonixin tutkijat raportoivat VENOMOUS#HELPER-kampanjasta, joka on saastuttanut yli 80 organisaatiota laillisilla SimpleHelp- ja ConnectWise ScreenConnect -ohjelmilla. Hyökkäys alkaa SSA:ksi tekeytyvästä sähköpostista ja päättyy todennäköisesti kiristyshaittaohjelmaan. Suomessa NIS2-pohjainen kyberturvallisuuslaki velvoittaa nyt yrityksiä hallitsemaan juuri tällaisia toimitusketjuriskejä.
Laillinen ohjelma, väärä asentaja. Hyökkääjät eivät yritäkään kiertää virustorjuntaa haittaohjelmalla, jonka allekirjoitus löytyy jokaisesta tunnistuskannasta. He asentavat kohteen koneelle aidon, allekirjoitetun yritystason etähallintaohjelman ja käyttävät sitä omiin tarkoituksiinsa.
Tietoturvayhtiö Securonixin tutkijat kertovat löytäneensä kampanjan, jonka koodinimeksi on annettu VENOMOUS#HELPER. The Hacker News raportoi havainnoista 4. toukokuuta 2026.
Kampanja on ollut käynnissä ainakin huhtikuusta 2025 lähtien. Uhriksi on joutunut yli 80 organisaatiota, valtaosa Yhdysvalloissa. Suomalaisia uhreja ei toistaiseksi ole julkisissa raporteissa.
Eri ilmiö kuin viime viikolla raportoitu IT-tuki-puhelinhuijaus, jossa kohteena oli yksittäinen kuluttaja ja päämääränä pankkitilin tyhjentäminen. Tässä kohteena on koko organisaatio, kanavana sähköposti ja loppupelinä todennäköisesti kiristyshaittaohjelma. Aikaa hyökkääjä haluaa, ei kertapotkua.
Sähköposti viranomaiselta, joka ei ole viranomainen
Hyökkäys alkaa viestillä, joka tekeytyy Yhdysvaltain sosiaaliturvalaitokseksi (SSA). Viesti kehottaa lataamaan henkilökohtaisen "SSA statement" -dokumentin. Linkki ei vie suoraan haitalliselle palvelimelle vaan kierrättää uhrin murretun meksikolaisen yrityksen verkkosivuston kautta. Näin se väistää verkkotunnusten mainepohjaiset suodattimet.
Ladattava tiedosto on JWrapper-paketoitu Windows-suoritettava. Se asentaa SimpleHelp-version 5.0.1 koneelle Windows-palveluna. Palvelu kestää myös vikasietotilakäynnistyksen. Oikeudet nostetaan SYSTEM-tasolle Windowsin omilla mekanismeilla, ja haittaohjelma seuraa virustorjuntaa sekä käyttäjän läsnäoloa noin minuutin välein.
Kestävyyttä on rakennettu vielä yksi taso lisää. Securonixin tutkijat kuvaavat keskeisen havainnon näin:
– ConnectWise ScreenConnect asennetaan toissijaiseksi varakanavaksi, jotta yhteys uhrin koneeseen säilyy silloinkin, kun yksi kanava katkaistaan, tutkijat toteavat.
Securonixin arvion mukaan toimijaklusteri on todennäköisesti ensikäytön välityskauppias tai kiristyshaittaohjelmakampanjan edeltäjä. Klusteri menee päällekkäin Sophosin STAC6405-seurannan kanssa. Sama hyökkäysmalli on siis ollut tutkijatiimien tähtäimessä jo pitkään.
Miksi virustorjunta päästää nämä ohi?
SimpleHelp ja ConnectWise ScreenConnect ovat ihan oikeita, allekirjoitettuja yritystuotteita, joita tuhannet IT-osastot käyttävät päivittäin. Niitä ei voi vain mustalistata, koska oma helpdesk pitää palaverin kanssa joka tiistai. Hyökkääjän tuoma kopio näyttää tismalleen samalta kuin se, mikä on jo asennettu naapuripöydän koneelle.
Verkkoliikenne menee samoille pilvipalvelimille, joihin myös laillinen käyttö ohjautuu. Endpoint Detection -työkalun on melko vaikea erottaa, kuka istuu konsolin toisessa päässä, kun itse työkalu on tunnettu ja luvallinen.
Juuri siksi CISA on julkaissut kaksi aiheeseen liittyvää varoitusta. AA23-025A vuodelta 2023 käsittelee RMM-ohjelmien väärinkäyttöä pysyvyyden välineenä kalastelun jälkeen. AA25-163a kesäkuulta 2025 varoittaa kiristyshaittaohjelmatoimijoiden käyttävän päivittämättömiä SimpleHelp-asennuksia.
Suomalainen kytkös: NIS2 muutti pelin
NIS2-pohjainen kyberturvallisuuslaki astui Suomessa voimaan 8.4.2025. Toimitusketjun ja kolmansien osapuolten riskienhallinta on nyt lakisääteinen velvoite olennaisten ja tärkeiden toimialojen organisaatioille.
Etähallintaohjelma, jonka asentaa joku muu kuin oma IT-osasto, on oppikirjaesimerkki juuri tästä riskistä.
Kyberturvallisuuskeskus on aiemmin varoittanut kuluttajia etäkäyttöohjelmien asentamiseen pakottavista huijauksista. Joukossa on ollut myös yhteydenottoja, joissa rikolliset tekeytyvät itse Kyberturvallisuuskeskukseksi.
Yritystason kampanja kääntää saman idean toisinpäin. Organisaation työntekijä saa viestin, joka näyttää tulevan ulkomaiselta viranomaiselta, ja paine vastata on todellinen.
Tunnistusmerkit (organisaatiot)
- Sähköposti, joka tekeytyy ulkomaiseksi viranomaiseksi (SSA, IRS, HMRC) ja kehottaa lataamaan "lausunnon" tai "todistuksen"
- Linkki vie tuntemattomalle verkkotunnukselle, ei viranomaisen viralliselle sivulle
- Käyttäjälle "asentuu IT-tukiohjelma" ilman, että oma IT-osasto on tilannut sellaista
- Uusi Windows-palvelu, jonka nimi muistuttaa SimpleHelp- tai ScreenConnect-prosesseja
Mitä tehdä (organisaatiot)
- Salli vain ennalta hyväksytyt etähallintaohjelmat sallittujen ohjelmien listalla
- Estä SimpleHelpin, ScreenConnectin, AnyDeskin ja LogMeIn:n suoritus, mukaan lukien portable-versiot, ellei niitä ole erikseen sallittu
- Vahvista jokainen IT-tuki-sähköposti tai -puhelu sisäisen tunnetun kanavan kautta, ei viestissä olevista numeroista tai linkeistä
- Käsittele "viranomaisvahvistus"-sähköpostit oletuksena vihamielisinä ja sandbox-liitteet
- Ilmoita poikkeamista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi
Kuinka moni suomalainen organisaatio on jo asentanut hyökkääjän SimpleHelpin tietämättään? Sitä on todella vaikea sanoa ennen kuin joku alkaa katsoa lokeja taaksepäin. NIS2-velvoitteet antavat hallitukselle ja johdolle nyt syyn vaatia se selvitys. Jää nähtäväksi, kuinka moni ehtii tehdä sen ennen ensimmäistä kotimaista uhritapausta.