Nämä olivat yleisimmät haittaohjelmat maaliskuussa – etäkäyttötroijalaista Remcosia levitetään uudella tavalla

Tietoturvayhtiö Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut perinteisen haittaohjelmakatsauksensa nyt maaliskuun osalta.

Check Pointin tutkijat saivat maaliskuussa selville, että hakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remote Access Trojan (RAT) Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä.

Remcos-haittaohjelma havaittiin ensimmäisen kerran vuonna 2016. Se levisi aiemmin roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta sekä käynnistämään haittaohjelmia. Remcos oli alun perin laillinen työkalu Windows-järjestelmien etähallintaan, mutta verkkorikolliset alkoivat pian hyödyntää työkalun kykyä tartuttaa laitteita, ottaa kuvakaappauksia, tallentaa näppäinpainalluksia ja lähettää kerättyjä tietoja nimetyille isäntäpalvelimille. Lisäksi tämä etäkäyttötroijalainen sisältää massapostitustoiminnon, jolla voidaan toteuttaa jakelukampanjoita, ja sen eri toimintoja voidaan käyttää bottiverkkojen luomiseen. Viime kuussa se nousi neljänneksi yleisimmäksi haittaohjelmaksi maailmanlaajuisesti.

”Hyökkäystaktiikoiden kehittyminen osoittaa, että kyberrikollisten strategiat kehittyvät jatkuvasti. Tämä korostaa organisaatioiden tarvetta priorisoida ennakoivia toimenpiteitä. Pysymällä valppaina, ottamalla käyttöön vankan päätelaitesuojauksen ja edistämällä kyberturvallisuusosaamista, voimme yhdessä vahvistaa puolustustamme kehittyviä kyberuhkia vastaan,” toteaa Maya Horowitz, VP Research Check Point Softwarelta.”

FakeUpdates-latausohjelma piti myös maaliskuussa sitkeästi kärkisijaa maailmanlaajuisesti yleisimänä haittaohjelmana, ja se nousi myös Suomen yleisimmäksi haittaohjelmaksi. Sen esiintyvyys kasvoi helmikuusta maaliskuuhun 1,38 prosentista peräti 3,4 prosenttiin.

Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se käyttää JavaScript-pohjaisia haittaohjelmia kohdistaakseen hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.

Suomen yleisimmät haittaohjelmat maaliskuussa 2024 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 3,40 %.
2. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 2,13 %.
3. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,70 %.
4. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,70 %..
5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,85 %.
6. AsyncRAT – Etäkäyttöön tarkoitettu troijalainen (RAT), joka kykenee valvomaan ja ohjaamaan tietokonejärjestelmiä huomaamattomasti etänä. Viime kuun kuudenneksi yleisin haittaohjelma käyttää piiloutumiseen ja prosessi-injektioiden toteuttamiseen useita eri tiedostomuotoja, kuten PowerShell ja BAT. Esiintyvyys 0,85 %.
7. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 0,85 %.
8. Raspberry Robin – Kehittynyt mato, joka käyttää hyökkäyksissään laillisilta vaikuttavia, mutta tosiasiassa uhrien koneet saastuttavia USB-asemia. Esiintyvyys 0,85 %.
9. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 0,85 %.
10. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 0,85 %.

Maailman yleisimmät haittaohjelmat maaliskuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 6 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.
3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2 %.

Mobiilihaittaohjelmista maailmanlaajuisesti yleisin oli Androidiin kohdistuva haitake, pankki- ja etäkäyttötroijalainen Anubis. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa.

Toiseksi yleisin oli etäkäyttötroijalainen AhMyth, joka havaittiin ensi kerran vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Uutena tulokkaana kolmanneksi maailmanlaajuiselle listalle nousi pankkipalveluihin kohdistava etäkäyttötroijalainen Cerberus. Sen ominaisuuksiin kuuluvat muun muassa tekstiviestien hallinta, näppäinlokit, äänitallennus ja sijainninseuranta.

Johtavat kiristysryhmät maaliskuussa 2024 Check Pointin mukaan

Check Point julkaisee nykyisin tietoja myös johtavista kiristysryhmistä. Tiedot pohjautuvat lähes kahteen sataan kiristysryhmien ylläpitämään ”häpeäsivustoon”. Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Maaliskuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 12 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat Play 10 prosentilla ja 8Base 9 prosentilla.

1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
2. Play – Play-hakkeriryhmä käyttää kiristysohjelmistoa. Tällaiseksi luokiteltu haittaohjelma toimii enkryptaamalla tietoja ja vaatimalla lunnaita salauksen purkamiseksi.
3. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022. Ryhmä nousi esiin vuoden 2023 keskivaiheilla lisääntyneen toimintansa ansiosta. 8Base on käyttänyt useita kiristysohjelmavariantteja, joista Phobos on yleisesti käytetty. Tämän ryhmän toiminta on kehittynyttä, ja se käyttää kaksoiskiristystaktiikkaa.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla