Nämä olivat yleisimmät haittaohjelmat helmikuussa – uusi hyökkäyskampanja piinaa verkkosivustoja

Tietoturvayhtiö Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut perinteisen haittaohjelmakatsauksensa helmikuun 2024 osalta.

Check Pointin tutkijat löysivät helmikuussa uuden FakeUpdates-kampanjan, joka nyt vaarantaa WordPress-sivustoja. Tartunnat tapahtuvat hakkeroitujen wp-admin-ylläpitäjätilien kautta, ja haittaohjelma mukautti taktiikkaansa tunkeutuakseen sivustoille käyttämällä aitojen WordPress-liitännäisten muunnettuja versioita sekä huijaamalla käyttäjiä lataamaan etäkäyttötroijalaisia.

FakeUpdates-latausohjelma pitää sitkeästi kärkisijaa maailman ykköshaitakkeena, toteaa Check Point.

Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se hyödyntää JavaScript-pohjaisia haittaohjelmia kohdistamaan hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.

Vaikka toimintaa on yritetty pysäyttää, se on edelleen merkittävä uhka verkkosivustojen turvallisuudelle ja käyttäjätiedoille. Kehittynyt haittaohjelmavariantti on aiemmin yhdistetty venäläiseen Evil Corp -nimiseen verkkorikollisryhmään. Sen lataustoiminnallisuuden ansiosta ryhmän uskotaan ansaitsevan rahaa myymällä pääsyä saastuttamiinsa järjestelmiin, mikä voi johtaa lisähaittaohjelmatartuntoihin.

”Verkkosivustot toimivat nykymaailmassamme digitaalisina markkinapaikkoina, jotka ovat elintärkeitä viestinnälle, kaupankäynnille ja yhteyksien luomiselle. Niiden suojeleminen verkkouhilta ei ole vain koodin suojaamista, vaan kyse on verkkoläsnäolomme ja usein yhteiskuntamme keskeisten toimintojen turvaamisesta. Jos verkkorikolliset päättävät käyttää niitä välineenä esimerkiksi haittaohjelmien salaiseen levittämiseen, seuraukset voivat olla huomattavat organisaation taloudelle ja maineelle. Ennakoiviin toimiin ryhtyminen ja tiukan nollatoleranssin noudattaminen ovat keskeisiä keinoja varmistaa kattava suojaus erilaisia uhkia vastaan”, sanoo Maya Horowitz, VP Research Check Point Softwarelta.

Suomen yleisimmät haittaohjelmat helmikuussa 2024 Check Pointin mukaan

1. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 2,30 %.
2. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,38 %.
3. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,92 %.
4. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 0,92 %.
5. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan. Haittaohjelma on suunniteltu antamaan pahansuoville käyttäjille etähallinta tartunnan saaneeseen tietokoneeseen. Esiintyvyys 0,92 %.
6. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 0,92 %.
7. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. CoinLoader leviää esimerkiksi haitallisten sähköpostin liitetiedostojen tai tartunnan saaneiden verkkosivustojen kautta. Esiintyvyys 0,92 %.
8. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,92 %.
9. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 0,92 %.
10. Shiz – Takaoviohjelma, joka piiloutuu Windows-prosesseihin ja pitää yhteyttä useisiin ohjauspalvelimiin. Esiintyvyys 0,46 %.

Maailman yleisimmät haittaohjelmat helmikuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 5 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.
3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2 %.

Mobiilihaittaohjelmista maaimanlaajuisesti yleisin oli Androidiin kohdistuva haittaohjelma, pankki- ja etäkäyttötroijalainen Anubis. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa.

Toiseksi yleisin oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitäkin levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Kolmanneksi yleisin oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.

Nykyään Check Point julkaisee osana katsaustaan tietoja myös johtavista kiristyshyökkäyksiä tehneistä ryhmistä. Tiedot pohjautuvat lähes kahteen sataan kiristysryhmien ylläpitämään ”häpeäsivustoon”. Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 20 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat Play 8 prosentilla ja 8Base 7 prosentilla.

Johtavat kiristysryhmät helmikuussa 2024 Check Pointin mukaan

1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
2. Play – Play-hakkeriryhmä käyttää kiristysohjelmistoa. Tällaiseksi luokiteltu haittaohjelma toimii enkryptaamalla tietoja ja vaatimalla lunnaita salauksen purkamiseksi.
3. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022. Ryhmä nousi esiin vuoden 2023 keskivaiheilla lisääntyneen toimintansa ansiosta. 8Base on käyttänyt useita kiristysohjelmavariantteja, joista Phobos on yleisesti käytetty. Tämän ryhmän toiminta on kehittynyttä, ja se käyttää kaksoiskiristystaktiikkaa.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla