Nämä olivat yleisimmät haittaohjelmat tammikuussa – 70 000 sivuston verkosto huolenaiheena

Tietoturvayhtiö Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut perinteisen kuukausittaisen haittaohjelmakatsauksensa tammikuun osalta.

Check Pointin tietoturvatutkijat havaitsivat tammikuussa uuden ja laajalle levinneen liikenteenjakelujärjestelmän (traffic distribution system TDS), joka tunnetaan nimellä VexTrio. Järjestelmä on tukenut yli 60 toimijaa hyödyntäen laajaa verkostoaan, joka sisältää yli 70 000 luvattomasti käytettyä sivustoa.

VexTrio on ollut toiminnassa vuodesta 2017 ja tehnyt yhteistyötä monien kumppaneiden kanssa, Check Point kertoo. VexTrion tavoitteena on haittaohjelmien levittäminen hyödyntämällä sen kehittämää monimutkaista TDS-järjestelmää, joka muistuttaa laillisia markkinointiverkostoja. Vaikka se on ollut toiminnassa yli kuusi vuotta, sen toiminnan laajuutta ei ole juurikaan huomattu, sillä sitä on Check Pointin vaikea yhdistää tiettyihin uhkatoimijoihin tai hyökkäysmenetelmiin. Tämä yhdessä laajan verkoston ja edistyneiden toimintatapojen kanssa tekevät siitä suuren kyberturvallisuusriskin.

”Kyberrikolliset ovat kehittyneet pelkistä hakkereista petosarkkitehdeiksi, ja VexTrio on taas yksi osoitus siitä, miten kaupallisesti suuntautunutta kyberrikollisuus on nykyään. Sekä yksilöiden että organisaatioiden turvallisuuden varmistamiseksi on tärkeää asettaa etusijalle säännölliset kyberturvallisuuspäivitykset, ottaa käyttöön kattavat päätelaitteen suojatoimet ja kehittää valppaiden verkkokäytäntöjen kulttuuria. Pysymällä ajan tasalla ja toimimalla ennakoivasti voimme yhdessä tehostaa puolustustamme vastaamaan uusiin ja kehittyviin kyberuhkiin”, sanoo Maya Horowitz, VP Research Check Point Softwarelta.

Check Point esittelee katsauksessaan ensimmäistä kertaa kiristysryhmien aktiivisuutta mittaavan rankingin, joka perustuu yli 200 julkaistun tapauksen analyysiin. Viime kuussa LockBit3 osoittautui aktiivisimmaksi ryhmäksi ollen vastuussa 20 prosentista kaikista raportoiduista iskuista. Ryhmä oli mukana useissa tammikuun hyökkäyksissä, esimerkkeinä Subway-pikaruokaketjuun ja Chicagon Saint Anthony -sairaalaan tehdyt iskut.

Suomen yleisimmät haittaohjelmat tammikuussa 2024 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,28 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,69 %.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,27 %.
4. Medusa – Android-laitteisiin kohdistuva pankkitroijalainen, joka havaittiin ensimmäisen kerran heinäkuussa 2020. Haittaohjelmaa levitetään Smishing (Phishing SMS) -palvelujen kautta, ja sen tiedetään kohdistuvan rahoitusorganisaatioihin Turkissa, Pohjois-Amerikassa ja Euroopassa. Haittaohjelman ominaisuuksiin lukeutuvat myös näppäimistön seurannan käyttö sekä äänen ja videon suoratoisto. Esiintyvyys 0,84 %.
5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,84 %.
6. BLINDINGCAN – Uusi etäkäyttötroijalainen (RAT), jota Pohjois-Korean pahamaineinen Lazarus-ryhmä käyttää. Esiintyvyys 0,84 %.
7. Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta. Kun haittaohjelma on onnistuneesti lisätty, se salaa uhrin tietokoneella olevat tiedot tai estää työkalua toimimasta oikein sekä esittää samalla lunnasvaatimuksen. Esiintyvyys 0,84 %.
8. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,84 %.
9. Mirai – Pahamaineinen IoT-haittaohjelma, joka jäljittää haavoittuvia IoT-laitteita, kuten web-kameroita, modeemeja ja reitittimiä, ja muuttaa ne boteiksi. Mirai-bottiverkko havaittiin ensimmäisen kerran vuonna 2016, ja se on tunnettu massiivisista DDoS-hyökkäyksistä. Esiintyvyys 0,84 %.
10. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan. Haittaohjelma on suunniteltu antamaan pahansuoville käyttäjille etähallinta tartunnan saaneeseen tietokoneeseen. Esiintyvyys 0,84 %.

Maailman yleisimmät haittaohjelmat tammikuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 4 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.
3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2 %.

Mobiilihaittaohjelmista maailmanlaajuisesti yleisin tammikuussa oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa.

Toiseksi yleisin oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin ensi kerran vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Kolmanneksi yleisin mobiilihaitake oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.

Johtavat kiristysryhmät tammikuussa 2024

Ensi kertaa Check Point kertoi tietoja myös johtavista kiristysryhmistä. Tiedot perustuvat lähes kahteen sataan kiristysryhmien ylläpitämään ”häpeäsivustoon”. Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Kyberrikolliset pyrkivät listausten avulla painostamaan uhreja, jotka ovat kieltäytyneet maksamasta lunnaita.

Vaikka sivustojen tiedoissa on omat vinoutumansa, Check Pointin mukaan ne antavat arvokasta tietoa kiristysohjelmien ekosysteemistä, joka on nykyisin yritysten suurin tietoturvauhka. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 20 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat 8Base 10 prosentilla ja Akira 9 prosentilla.

1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
2. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022. Ryhmä nousi esiin vuoden 2023 keskivaiheilla lisääntyneen toimintansa ansiosta. 8Base on käyttänyt useita kiristysohjelmavariantteja, joista Phobos on yleisesti käytetty. Tämän ryhmän toiminta on kehittynyttä, ja se käyttää kaksoiskiristystaktiikkaa.
3. Akira – Akira on uusi kiristysohjelma, joka kohdistuu sekä Windows- että Linux-järjestelmiin ja havaittiin ensimmäisen kerran vuoden 2023 alussa. Akira käyttää tiedostojen salaamiseen symmetristä salausta ja se muistuttaa toiminnoiltaan Conti v2 -kiristysohjelmaa. Akira leviää monin eri tavoin, kuten tartunnan saaneiden sähköpostiliitteiden ja VPN-päätepisteiden haavoittuvuuksien kautta. Tartunnan yhteydessä se salaa tiedostot ja lisää niihin ”.akira”-päätteen, minkä jälkeen se esittää lunnasvaatimuksen tiedostojen palauttamiseksi.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla