Nämä olivat yleisimmät haittaohjelmat elokuussa – Meow-kiristyshaittaohjelman nousu osoittaa muutoksen kiristysryhmien ansaintamallissa

Tietoturvayhtiö Check Point Software Techonologies on julkaissut elokuun 2024 haittaohjelmakatsauksensa.

Kiristyshaittaohjelmat pysyvät edelleen merkittävänä uhkana, ja RansomHub säilytti asemansa maailman yleisimpänä kiristyshaittaohjelmaryhmänä. Tämä palveluna kiristyshyökkäyksiä tarjoava Ransomware-as-a-Service (RaaS) -operaatio on kasvanut nopeasti sen jälkeen, kun se vaihtoi nimensä aiemmin tunnetusta Knight-kiristyshaittaohjelmasta, hyökäten aggressiivisesti Windows-, macOS- ja Linux-järjestelmiin, erityisesti VMware ESXi -ympäristöihin. Hyökkäyksissä on hyödynnetty kehittyneitä salaustekniikoita.

Check Pointin mukaan ryhmä on hyökännyt jo yli 210 kohteeseen ympäri maailmaa. Samalla Meow-kiristyshaittaohjelma on noussut esiin ja siirtynyt tiedostojen salauksesta varastettujen tietojen myyntiin tietovuotojen kauppapaikoilla.

Meow-kiristyshaittaohjelma puolestaan nousi elokuussa ensimmäistä kertaa toiselle sijalle kiristyshaittaohjelmien listalla. Se on saanut alkunsa Conti-kiristyshaittaohjelman vuotaneesta koodista ja siirtänyt painopisteensä tiedostojen salaamisesta tietojen varastamiseen ja niiden myyntiin tietovuotojen kauppapaikoilla. Tässä ansaintamallissa varastetut tiedot myydään korkeimman tarjouksen tehneelle, mikä eroaa perinteisistä kiristystaktiikoista, joissa uhreja painostetaan maksamaan lunnaita.

”RansomHubin nousu elokuun suurimmaksi kiristyshaittaohjelmauhaksi korostaa RaaS-operaatioiden yhä kasvavaa kehittyneisyyttä”, sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

”Organisaatioiden on oltava nyt valppaampia kuin koskaan. Meow-kiristyshaittaohjelman nousu kuvastaa kiristyshaittaohjelmaoperaattoreiden siirtymistä uuteen ansaintamalliin, jossa hyödynnetään tietovuotojen kauppapaikkoja. Varastettua tietoa myydään yhä useammin kolmansille osapuolille sen sijaan, että se julkaistaisiin verkossa. Näiden uhkien kehittyessä yritysten on pysyttävä hereillä, otettava käyttöön ennakoivia turvatoimia ja vahvistettava jatkuvasti suojaustaan entistä kehittyneempiä hyökkäyksiä vastaan”, jatkaa Horowitz.

Suomen yleisimmät haittaohjelmat elokuussa 2024 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 7,55 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,77 %.
3. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien ja hallitsi parhaimmillaan yli miljoonaa tartunnan saanutta isäntäkonetta. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 3,30 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,36 %.
5. BMANAGER – BMANAGER on uhkatoimija Boolkan kehittämä modulaarinen troijalainen, joka on suunniteltu edistyneeseen tiedonkeruuseen vaarantuneista järjestelmistä. Vuodesta 2022 lähtien BMANAGER on ollut osa Boolkan kehitystä kohti monimutkaisia haittaohjelmastrategioita. Sen sisältämät komponentit on räätälöity tiettyihin toimintoihin, kuten näppäinpainallusten kirjaamiseen, tiedostojen varastamiseen ja tietojen siirtämiseen. BMANAGER pystyy lataamaan tiedostoja C2-palvelimelta, hallitsemaan Windowsin käynnistystehtäviä ja suorittamaan tiedostoja. Se leviää ensisijaisesti verkkosivustojen haavoittuvuuksia hyödyntävien SQL-injektiohyökkäysten kautta, mahdollistaen käyttäjän tietojen huomaamattoman varastamisen. Esiintyvyys 1,89 %.
6. Qbot – Monikäyttöinen haittaohjelma (tunnetaan myös nimellä Qakbot) ilmestyi alun perin pankkitroijalaisena vuonna 2007 ja on kehittynyt työkaluksi tunnistetietojen varastamiseen, kiristyshaittaohjelmien levittämiseen ja takaovien avaamiseen saastuneisiin järjestelmiin. Pahamaineinen TA577-ryhmä on levittänyt Qbotia tehokkaasti edistyneillä tietojenkalastelukampanjoilla. Viranomaiset yrittivät elokuussa 2023 alasajaa Qbotin toiminnan, mutta se osoitti huomattavaa sitkeyttä ja sopeutumiskykyä. Joulukuusta 2023 lähtien Qbot on ollut jälleen nousussa, kun uhkatoimijat ovat kehittäneet siitä uusia versioita. Haittaohjelma leviää erityisesti kohdennetuilla tietojenkalastelukampanjoilla, haavoittuvuuksien hyväksikäytöllä ja haitallisten mainosten välityksellä. Esiintyvyys 1,42 %.
7. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,42 %.
8. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,42 %.
9. KrustyLoader – Esiintyvyys 1,42 %.
10. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 0,94 %.

Maailman yleisimmät haittaohjelmat elokuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 8 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. Phorpiex – Bottiverkko, joka tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 5 %.

Mobiilihaittaohjelmista maailmanlaajuisesti yleisin elokuussa oli Joker, Google Playssa jaeltu Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toiseksi yleisin oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa. Kolmantena oli Hydra-pankkitroijalainen, joka on suunniteltu varastamaan pankkitunnuksia pyytämällä uhreja antamaan korkean riskin käyttöoikeudet ja pääsyn aina, kun he käyttävät jotakin pankkisovellusta.

Johtavat kiristysryhmät elokuussa 2024 Check Pointin mukaan

Tiedot perustuvat niin kutsuttuihin ”häpeäsivustoihin”, joilla kaksoiskiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Meow – Conti-kiristyshaittaohjelman variantti, joka tunnetaan monenlaisten tiedostojen salaamisesta vaarantuneissa järjestelmissä ja ”.MEOW”-päätteen liittämisestä niihin. Se jättää jälkeensä ”readme.txt” -nimisen lunnasvaatimustiedoston, jossa uhreja kehotetaan ottamaan yhteyttä hyökkääjiin sähköpostitse tai Telegramin kautta neuvotellakseen lunnasmaksuista. Meow leviää useiden vektorien, kuten suojaamattomien RDP-konfiguraatioiden, sähköpostin roskapostikampanjoiden ja haitallisten latausten kautta. Se käyttää ChaCha20-salausalgoritmia tiedostojen lukitsemiseen, lukuun ottamatta ”.exe”- ja tekstitiedostoja.
3. Lockbit3 – Kiristysohjelma toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla