Nämä olivat yleisimmät haittaohjelmat heinäkuussa

Tietoturvayhtiö Check Point Software Techonologies on julkaissut heinäkuun haittaohjelmakatsauksensa.

Huolimatta kesäkuun notkahduksestaan, LockBit nousi heinäkuussa maailman toiseksi yleisimmäksi kiristyshaittaohjelmaryhmäksi samalla, kun RansomHub säilytti ykkössijansa. Check Pointin tutkijat havaitsivat myös kampanjan, jossa levitettiin Remcos-haittaohjelmaa CrowdStriken päivitysongelman jälkeen, sekä joukon uusia FakeUpdates-taktiikoita, jotka nousivat jälleen heinäkuun haittaohjelmalistan kärkeen Suomessa.

CrowdStrike-tietoturvayhtiön ongelmat loivat myös tilaisuuksia. Verkkorikolliset levittivät haitallista ZIP-tiedostoa nimeltä crowdstrike-hotfix.zip. Tämä tiedosto sisälsi todellisuudessa HijackLoader-haittaohjelman, joka myöhemmin aktivoi Remcos-haittaohjelman. Kampanja kohdistui espanjankielisiä ohjeita käyttäviin yrityksiin, ja siinä hyödynnettiin väärennettyjä verkkotunnuksia tietojenkalasteluhyökkäyksissä.

Tutkijat paljastivat myös joukon uusia taktiikoita, joissa hyödynnettiin FakeUpdates-ohjelmaa. FakeUpdates säilytti kärkisijansa haittaohjelmien listalla toista kuukautta peräkkäin. Vaarantuneilla verkkosivustoilla vierailevat käyttäjät kohtasivat väärennettyjä selainpäivityskehotteita, jotka johtivat etäkäyttötroijalaisten (Remote Access Trojans, RAT), kuten AsyncRATin asentamiseen. Verkkorikolliset ovat Check Pointin mukaan nyt alkaneet hyödyntää alun perin vapaaehtoislaskentaan tarkoitettua BOINC-alustaa saadakseen etähallinnan tartunnan saaneisiin järjestelmiin.

”Lockbitin ja RansomHubin kaltaisten ryhmien jatkuva toiminta ja uusi nousu osoittavat, että kyberrikolliset keskittyvät yhä kiristyshaittaohjelmiin. Ne ovat organisaatioille merkittävä ja jatkuva haaste, joka vaikuttaa laajasti yritysten toiminnan jatkuvuuteen ja tietoturvaan. Remcos-haittaohjelman levityksessä käytettiin hyväksi äskettäistä tietoturvaohjelmiston päivitystä. Tämä alleviivaa entisestään rikollisten moraalitonta toimintatapaa, ja heikentää organisaatioiden mahdollisuutta puolustautua hyökkäyksiltä. Näiden uhkien torjumiseksi ja yhä laajenevien kyberhyökkäysten vaikutusten vähentämiseksi organisaatioiden on otettava käyttöön monitasoinen tietoturvastrategia, johon sisältyy vahva päätelaitteiden suojaus, tarkka seuranta ja käyttäjien koulutus”, sanoo VP Resarch Maya Horowitz Check Point Softwarelta.

Suomen yleisimmät haittaohjelmat heinäkuussa 2024 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 6,07 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,27 %.
3. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,87 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 1,87 %.
5. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,40 %.
6. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,40 %.
7. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,47 %.
8. Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 0,47 %.
9. Floxif – Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Tunnettu laajasta kampanjasta vuonna 2017, jolloin Floxif oli mukana CCleaner-sovelluksessa ja tartutti yli 2 miljoonaa käyttäjää, mm. teknologiajätit Googlen, Microsoftin, Ciscon ja Intelin. Esiintyvyys 0,47 %.
10. FakeBat – Haittaohjelma, jota levitetään haitallisilla mainoskampanjoilla käyttäen MSIX-asennusohjelmia, jotka sisältävät vaikealukuiseksi muokattuja PowerShell-skriptejä. Se esiintyy tunnettuina ohjelmistoina, kuten Notion ja Trello, huijatakseen uhreja lataamaan haitallisia tiedostoja. Kampanjoissa hyödynnetään URL-osoitteiden lyhentäjiä ja laillisia verkkosivustoja turvatoimien kiertämiseksi ja haittaohjelman tehokkaammaksi levittämiseksi. Esiintyvyys 0,47 %.

Maailman yleisimmät haittaohjelmat heinäkuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 7 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana ja on ollut aktiivinen vuodesta 2014 lähtien. Se voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin, kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook. AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 3 %.

Mobiilihaittaohjelmista maailmanlaajuisesti yleisin heinäkuussa oli Joker, Google Playssa jaettu Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa. Kolmantena oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla