Nämä olivat yleisimmät haittaohjelmat lokakuussa – kärkeen nousi Venäjään yhdistetty tietoja varastava haittaohjelma

Tietoturvayhtiö Check Point Software Technologies on julkaissut tutun kuukausittaisen haittaohjelmakatsauksensa lokakuun osalta.

Check Pointin mukaan viimeisimmät tiedot tuovat esiin huolestuttavan kehityksen kyberturvallisuudessa: tietoja varastavien haittaohjelmien yleistymisen ja kyberrikollisten hyökkäystapojen kehittymisen.

Tietoja varastavat haittaohjelmat ovat yleistyneet. Lokakuussa Check Pointin tutkijat havaitsivat tartuntaketjun, jossa väärennettyjä CAPTCHA-sivuja käytetään Lumma Stealer -haittaohjelman levittämiseen. Venäläistaustainen Lumma nousi lokakuussa Suomen haittaohjelmalistan kärkeen ja maailmanlaajuisesti neljännelle sijalle. Haittaohjelman leviäminen on huomionarvoista sen globaalin ulottuvuuden vuoksi: haittaohjelma vaikuttaa useissa maissa pääasiallisesti kahdella tartuntatavalla – laittomien pelikopioiden latauslinkkien ja GitHub-käyttäjiin kohdistuvien tietojenkalastelusähköpostien avulla. Uhrit huijataan suorittamaan haitallinen komentosarja, joka on kopioitu heidän leikepöydälleen.

Mobiilihaittaohjelmista Necron uusi versio on noussut merkittäväksi uhaksi ollen lokakuussa toiseksi yleisin. Necro on tartuttanut useita suosittuja sovelluksia, kuten Google Playsta saatavia modifioituja pelejä, joiden käyttäjäkunta kattaa yli 11 miljoonaa Android-laitetta. Necro käyttää häivytystekniikoita havaitsemisen välttämiseksi ja hyödyntää steganografiaa peittääkseen haitallisen sisällön. Steganografia tarkoittaa tiedon piilottamista toiseen viestiin tai objektiin. Aktivoituessaan Necro voi käyttäjän huomaamatta avata mainoksia taustalla, klikata niitä ja rekisteröidä uhrin maksullisiin palveluihin, kertoo Check Point. Tämä kuvastaa hyökkääjien jatkuvasti kehittyviä keinoja saada taloudellista hyötyä.

”Tietoja varastavien haittaohjelmien kehittyminen osoittaa, että kyberrikolliset uudistavat menetelmiään jatkuvasti ja hyödyntävät innovatiivisia hyökkäystapoja. Organisaatioiden on mentävä perinteisiä puolustuskeinoja pidemmälle ja omaksuttava ennakoivia ja mukautuvia turvatoimia, jotka pystyvät vastaamaan uusiin uhkiin tehokkaasti”, kommentoi VP of Research Maya Horowitz Check Point Softwarelta.

Suomen yleisimmät haittaohjelmat lokakuussa 2024 Check Pointin mukaan

1. Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,29 %.
3. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,82 %.
4. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,35 %.
5. GootLoader – Huomaamaton haittaohjelma, joka toimii lataajana hyökkäyksissä Windows-järjestelmiin. GootKit-pankkitroijalaisen lataajaksi kehitetty GootLoader on muuttunut monikäyttöiseksi haittaohjelma-alustaksi, joka voi toimittaa edistyneitä hyökkäystyökaluja, kuten Cobalt Striken ja REvil-kiristyshaittaohjelman. GootLoader käyttää hakukoneoptimoinnin manipulointia uhrien ohjaamiseksi vaarantuneille verkkosivuille ja suorittaa drive-by-lataushyökkäyksiä, jotka vaikuttavat moniin toimialoihin eri maissa. Se hyödyntää kehittyneitä tekniikoita, kuten koodin piilotusta ja PowerShell-komentoja havaitsemisen välttämiseksi. Esiintyvyys 1,41 %.

Maailman yleisimmät haittaohjelmat lokakuussa 2024 Check Pointin mukaan

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. Agent Tesla – AgentTesla on edistynyt etähallintatroijalainen (RAT), joka toimii keyloggerina ja tietoja varastavana haittaohjelmana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 4 %.
4. Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
5. Formbook – Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä markkinoidaan alamaailman hakkerifoorumeilla edullisena haittaohjelmapalveluna (MaaS), ja sillä on tehokkaat väistämistekniikat. Formbook varastaa tunnistetietoja verkkoselaimista, kerää kuvakaappauksia, seuraa ja tallentaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja komento- ja hallintapalvelimelta saatujen ohjeiden mukaan.

Mobiilihaittaohjelmista yleisin lokakuussa oli Joker, Google Playn kautta jaetuissa sovelluksissa piilevä Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma voi rekisteröidä uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toiseksi yleisin oli Android-troijalainen Necro, joka pystyy lataamaan muita haittaohjelmia, näyttämään häiritseviä mainoksia ja varastamaan rahaa tilaamalla maksullisia palveluja uhrinsa tietämättä. Kolmanneksi yleisin oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Play -kaupan sovelluksissa.

Johtavat kiristysryhmät lokakuussa 2024 Check Pointin mukaan

Tiedot perustuvat niin kutsuttuihin ”häpeäsivustoihin”, joilla kaksoiskiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. Lokakuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 17 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Play 10 prosentilla ja Qilin 5 prosentilla.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Play – Kiristysohjelma, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa. Play-kiristysohjelmat pääsevät yleensä verkkoihin vaarantuneiden tilien kautta tai hyödyntämällä paikkaamattomia haavoittuvuuksia.
3. Meow – Conti-kiristyshaittaohjelman variantti, joka tunnetaan monenlaisten tiedostojen salaamisesta vaarantuneissa järjestelmissä ja ”.MEOW”-päätteen liittämisestä niihin. Se jättää jälkeensä ”readme.txt” -nimisen tiedoston, jossa uhreja kehotetaan ottamaan yhteyttä hyökkääjiin sähköpostitse tai Telegramin kautta neuvotellakseen lunnasmaksuista. Meow leviää useiden vektorien, kuten suojaamattomien RDP-konfiguraatioiden, sähköpostin roskapostikampanjoiden ja haitallisten latausten kautta. Se käyttää ChaCha20-salausalgoritmia tiedostojen lukitsemiseen, lukuun ottamatta ”.exe”- ja tekstitiedostoja.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla