Nämä olivat yleisimmät haittaohjelmat syyskuussa – tekoäly auttaa vähemmän taitaviakin kyberrikollisia kehittämään hyökkäyksiä

Tietoturvayhtiö Check Point Software Technologies on julkaissut tutun haittaohjelmakatsauksensa nyt syyskuun 2024 osalta.

Check Pointin tietoturvatutkijat ovat havainneet nousevan trendin: tekoälypohjaisten haittaohjelmien yleistymisen, samalla kun kiristyshaittaohjelmat säilyttävät vahvan asemansa.

Check Pointin tutkijoiden mukaan hyökkääjät ovat todennäköisesti käyttäneet tekoälyä kehittääkseen skriptin, joka levittää AsyncRAT-haittaohjelmaa. Tämä haittaohjelma on nyt noussut kymmenenneksi yleisimpien haittaohjelmien listalla.

Hyökkäyksessä käytettiin HTML-smuggling-tekniikkaa, jossa salasanasuojattu ZIP-tiedosto haitallisella VBScript-koodilla lähetettiin käynnistämään tartuntaketju uhrin laitteella. Hyvin jäsennelty ja kommentoitu koodi viittaa tekoälyn käyttöön. Kun skripti suoritetaan, AsyncRAT asentuu laitteelle, mikä antaa hyökkääjälle mahdollisuuden tallentaa näppäinpainalluksia, hallita laitetta etänä ja asentaa muita haittaohjelmia.

Tekoälyn kasvava hyödyntäminen tukee trendiä, jossa myös rajoitetut tekniset taidot omaavat kyberrikolliset pystyvät tekoälyn avulla kehittämään haittaohjelmia entistä helpommin.

”Se, että hyökkääjät ovat alkaneet hyödyntää generatiivista tekoälyä hyökkäysinfrastruktuurissaan, osoittaa kyberhyökkäystaktiikoiden jatkuvan kehittymisen. Kyberrikolliset hyödyntävät yhä enemmän saatavilla olevia teknologioita tehostaakseen toimintaansa. Tämä korostaa ennakoivien tietoturvastrategioiden, kuten kehittyneiden torjuntamenetelmien ja kattavan henkilöstökoulutuksen, tärkeyttä organisaatioille.”

Syyskuussa Joker säilytti asemansa maailman yleisimpänä mobiilihaittaohjelmana, ja RansomHub jatkoi johtavana kiristyshaittaohjelmaryhmänä, mikä osoittaa niiden olevan yhä merkittävä uhka kyberturvallisuuden muuttuvalla kentällä.

Suomen yleisimmät haittaohjelmat syyskuussa 2024 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 4,65 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 4,19 %.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 3,26 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,33 %.
5. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien ja hallitsi parhaimmillaan yli miljoonaa tartunnan saanutta isäntäkonetta. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 2,33 %.
6. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 1,86 %.
7. Zergeca – Kehittynyt, Golang-kielellä kirjoitettu bottiverkko, joka on ensisijaisesti suunniteltu suorittamaan hajautettuja palvelunestohyökkäyksiä (DDoS) ja kykenee hyödyntämään useita hyökkäysmenetelmiä. DDoS-ominaisuuksien lisäksi Zergeca toimii takaovena ja tarjoaa ominaisuuksia, kuten välityspalvelin, skannaus, tiedostonsiirto ja käänteiskuori. Se käyttää DNS-over-HTTPS (DoH) -tekniikkaa komento- ja valvontapalvelimen nimipalvelun selvitykseen ja hyödyntää Smux-kirjastoa salattuun viestintään. Esiintyvyys 1,86 %.
8. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 1,40 %.
9. KrustyLoader – KrustyLoader on Rust-kielellä kehitetty haittaohjelma, joka on suunniteltu lataamaan Cobalt Strikea muistuttavan Sliver-hyökkäystyökalun. Se hyödyntää kahta hiljattain paljastettua nollapäivähaavoittuvuutta, CVE-2024-21887 ja CVE-2023-46805, jotka löytyvät Ivantin etäkäyttöön tarkoitetusta VPN-ohjelmistosta. Nämä haavoittuvuudet mahdollistavat todennusta vaatimattoman etäkoodin suorittamisen ja todennuksen ohittamisen. Raporttien mukaan kehittyneet pysyvät uhkatoimijat (APT, advanced persistent threat) ovat nopeasti alkaneet hyödyntää näitä haavoittuvuuksia haittaohjelman levittämiseksi. Esiintyvyys 1,40 %.
10. NJRat – Etähallintatroijalainen (tunnetaan myös nimellä Bladabindi), jonka on kehittänyt M38dHhM-hakkeriryhmä ja joka havaittiin ensimmäisen kerran vuonna 2012. Sitä on käytetty pääasiassa Lähi-idässä, ja kohteina ovat olleet erityisesti valtiolliset toimijat ja organisaatiot. NJRat pystyy tallentamaan näppäinpainalluksia, hallitsemaan uhrin kameraa etänä, varastamaan selaimiin tallennettuja tunnistetietoja, lataamaan ja siirtämään tiedostoja, manipuloimaan prosesseja ja tiedostoja sekä tarkastelemaan uhrin työpöytää. Se tartuttaa uhreja tietojenkalasteluhyökkäysten ja drive-by-latausten kautta ja leviää myös saastuneiden USB-tikkujen tai verkkoasemien kautta. Haittaohjelma toimii komento- ja hallintapalvelimen avulla. Esiintyvyys 0,93 %.

Maailman yleisimmät haittaohjelmat syyskuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 7 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 6 %.
3. Formbook – Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä markkinoidaan alamaailman hakkerifoorumeilla edullisena haittaohjelmapalveluna (MaaS), ja sillä on tehokkaat väistämistekniikat. Formbook varastaa tunnistetietoja verkkoselaimista, kerää kuvakaappauksia, seuraa ja tallentaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja komento- ja hallintapalvelimelta saatujen ohjeiden mukaan. Esiintyvyys 4 %.

Mobiilihaittaohjelmista maailmanlaajuisesti yleisin oli Joker, Google Playssa jaettu Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa. Kolmanneksi yleisin oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.

Johtavat kiristysryhmät syyskuussa 2024 Check Pointin mukaan

Tiedot perustuvat niin kutsuttuihin ”häpeäsivustoihin”, joilla kiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 17 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Play 10 prosentilla ja Qilin 5 prosentilla.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Play – Kiristysohjelma, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa. Play-kiristysohjelmat pääsevät yleensä verkkoihin vaarantuneiden tilien kautta tai hyödyntämällä paikkaamattomia haavoittuvuuksia.
3. Qilin (tunnetaan myös nimellä Agenda) – Kiristyshaittaohjelma palveluna (RaaS), jossa rikolliset salaavat ja varastavat tietoja haavoittuvista organisaatioista ja vaativat lunnaita. Heinäkuussa 2022 havaittu haittaohjelma on kehitetty Golang-kielellä. Se kohdistuu erityisesti suuriin yrityksiin sekä arvokkaisiin kohteisiin, kuten terveydenhuoltoon ja koulutusalaan. Qilin leviää yleensä haitallisia linkkejä sisältävillä tietojenkalastelusähköposteilla, joiden kautta hyökkääjät tunkeutuvat uhrin verkkoon, etsivät kriittistä tietoa salattavaksi ja varastavat arkaluonteisia tietoja.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla