Pankkitietojen varastamiseen keskittyneet haittaohjelmat yleisimpiä maaliskuussa – koronavirusaiheita hyödynnetty levityksessä

Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut kuukausittaisen haittaohjelmakatsauksensa maaliskuun osalta.

Check Pointin mukaan maailman yleisin haittaohjelma maaliskuussa oli helmikuun seitsemänneltä sijalta noussut Dridex-troijalainen. Toiseksi sijoittunut IcedID-troijalainen oli yleisimpien haittaohjelmien joukossa ensimmäistä kertaa. Molemmat ovat pankkitietojen varastamiseen erikoistuneita troijalaisia.

Vuonna 2017 ensimmäisen kerran havaittu IcedID levisi maaliskuussa nopeasti useiden roskapostikampanjoiden kautta, ja se vaikutti 11 prosenttiin yritysverkoista maailmanlaajuisesti. Yksi laajalle levinnyt koronavirusaiheinen kampanja houkutteli uhrejaan avaamaan haitallisia sähköpostiliitteitä, suurimmaksi osaksi Microsoft Word -asiakirjoja. Ne sisälsivät haitallisen makron, jota käytettiin asentamaan IcedID-ohjelma. Asennuksen jälkeen troijalainen yrittää varastaa tili- ja maksutietoja sekä muita henkilökohtaisia tietoja käyttäjien tietokoneilta. IcedID leviää myös muiden haittaohjelmien avulla, ja sitä on käytetty kiristysohjelmien tartuttamisessa.

”IcedID on ollut maisemissa jo muutaman vuoden ajan, mutta viime aikoina sitä on käytetty laajasti. Se osoittaa, että verkkorikolliset jatkavat tekniikoidensa mukauttamista ja pyrkivät hyväksikäyttämään organisaatioita koronapandemian varjolla”, sanoo Check Pointin johtaja Maya Horowitz.

”IcedID on vaikeasti havaittava troijalainen, joka käyttää monenlaisia tekniikoita taloustietoja varastaakseen. Organisaatioiden on varmistettava, että niillä on vankat turvajärjestelmät verkkojen vaarantumisen estämiseksi ja riskien minimoimiseksi. On ensisijaisen tärkeää kouluttaa työntekijät tunnistamaan IcedID:tä ja muita haittaohjelmia levittäviä haitallisia sähköpostityyppejä”, hän jatkaa.

Suomessa yleisin haittaohjelma maaliskuussa oli Growtopia, jota esiintyi lähes kuudessa prosentissa maan yritysverkoista, maailmanlaajuisen esiintyvyyden ollessa 0,25 prosenttia. Toisella sijalla oli Trickbot, joka on myös pankkihuijauksiin tähtäävä haittaohjelma. IcedID ei sen sijaan yltänyt Suomen yleisimpien haittaohjelmien listalle.

Kolmanneksi yleisin haittaohjelma Suomessa oli 1,98 prosentissa yritysverkkoja esiintynyt XMRig, joka on Monero-kryptovaluutan louhija.

Suomen 10 yleisintä haittaohjelmaa maaliskuussa on listattu alla.

Mobiilihaittaohjelmista maailmanaaljuisesti eniten havaittu oli maaliskuussa Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia. Toiseksi yleisin oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli mobiililaitteiden etäyhteyden mahdollistava MRAT-troijalainen (Mobile Remote Access Trojan) FurBall, jonka iranilainen valtiollisten hakkereiden APT-ryhmä on ottanut käyttöön. FurBallin ominaisuuksiin kuuluu tekstiviestien varastaminen, puhelulokit, puheluiden tallennus, mediatiedostojen keruu, sijainnin seuranta ja paljon muuta.

Suomen yleisimmät haittaohjelmat maaliskuussa 2021

1. Growtopia – Esiintyvyys 5,95 %.
2. TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 2,38 %.
3. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 1,98 %.
4. Arkei – Troijalainen, joka varastaa luottamuksellisia tietoja, kuten kirjautumistunnuksia. Esiintyvyys 1,19 %.
5. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,19 %.
6. Sodinokibi – Ensimmäistä kertaa vuonna 2019 havaittu, palveluna myyty kiristyshaittaohjelma (ransomware-as-a-service). Esiintyvyys 0,79 %.
7. Zloader – Haittaohjelma, joka varastaa pankkitunnusten lisäksi uhrin verkkoselaimiin tallennettuja salasanoja ja evästeitä. Esiintyvyys 0,79 %.
8. Razy – Windows-alustaan kohdistuva troijalainen. Kiristysohjelma salaa tiedostot ja asentaa haittaohjelman selainlaajennuksen, joka manipuloi verkkoselainta. Esiintyvyys 0,79 %.
9. Ryuk – Kiristyshaittaohjelma, jota on käytetty kohdennettuihin ja hyvin suunniteltuihin hyökkäyksiin organisaatioihin ympäri maailmaa. Se salaa tietokoneisiin, palvelimiin ja datakeskuksiin tallennettuja tiedostoja ja pyytää tietojen vapauttamisesta isoja, jopa 320 000 dollarin lunnaita bitcoineissa. Esiintyvyys 0,79 %.
10. Glupteba – Vuodesta 2011 tunnettu takaovi, joka kypsyi vähitellen botnetiksi. Esiintyvyys 0,40 %.
    Lisäksi esiintyvyydeltään 0,40 % olivat haittaohjelmat Gazaer, Locky, FurBall, Ramnit, Floxif, Cryptowall, Chindo, AutoCAD, Gandcrab, Neshta, Pavelo, Pykspa, Remcos, Scrinject, Shiz, Startun, Swrort, Tepfer, TryHackMe, Turla, Wannamine ja Phorpiex.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet maaliskuussa 2021

1. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 16 %.
2. IcedID – Taloustietoja varastava pankkitroijalainen, jota levitetään sähköpostin roskapostikampanjoiden välityksellä. Esiintyvyys 11 %.
3. Lokibot – Info Stealer, jota levitetään pääasiassa tietojenkalastelusähköpostien avulla. Varastaa muun muassa sähköpostitietoja ja kryptovaluuttalompakoiden ja FTP-palvelimien salasanoja. Esiintyvyys 9 %.

Check Pointin tutkijat listasivat myös maaliskuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään ”HTTP Headers Remote Code Execution (CVE-2020-13756)” on yritetty hyödyntää 45 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli “MVPower DVR Remote Code Execution”, jonka esiintyvyys oli 44 prosenttia. Kolmannella sijalla oli ”Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, sekin esiintyvyydeltään 44 prosenttia.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla