Nämä olivat yleisimmät haittaohjelmat marraskuussa – Androxgh0stin nousu esimerkki kyberrikollisten kehitystyöstä

Tietoturvayhtiö Check Point Software Technologies on julkaissut marraskuun 2024 haittaohjelmakatsauksensa.

Tietoturvatutkijat tuovat esiin kyberrikollisten kehittyneisyyden ja jatkuvasti muuttuvat toimintatavat. He korostavat erityisesti Androxgh0stin nopeaa nousua. Mozi-bottiverkkoon yhdistetty Androxgh0st jatkaa hyökkäyksiä kriittiseen infrastruktuuriin ja oli marraskuussa sekä Suomen että maailman yleisin haittaohjelma.

Check Pointin tietoturvatutkijoiden mukaan Androxgh0st hyödyntää haavoittuvuuksia eri alustoilla, kuten IoT-laitteissa ja verkkopalvelimissa, jotka ovat kriittisen infrastruktuurin keskeisiä osia. Mozin toimintatapoja jäljitellen Androxgh0st käyttää etäkoodin suorittamista ja tunnistetietojen varastamista, jotta se säilyttää jatkuvan pääsyn järjestelmiin. Tämä mahdollistaa muun muassa palvelunestohyökkäykset (DDoS) ja tietovarkaudet. Bottiverkko tunkeutuu kriittiseen infrastruktuuriin korjaamattomien haavoittuvuuksien kautta, ja Mozin ominaisuuksien lisääminen on merkittävästi laajentanut Androxgh0stin toimintamahdollisuuksia. Se pystyy tartuttamaan enemmän IoT-laitteita ja hallitsemaan laajempaa kohdejoukkoa.

Mobiilihaittaohjelmien osalta Joker on edelleen yleisin uhka, ja sitä seuraavat Anubis ja Necro. Joker varastaa edelleen tekstiviestejä, yhteystietoja ja laitetietoja samalla, kun se huomaamatta tilaa käyttäjän puolesta maksullisia palveluita. Anubis, pankkitroijalainen, on puolestaan saanut uusia ominaisuuksia, kuten etäkäyttötoimintoja, näppäinpainallusten tallentamista ja kiristysohjelmaominaisuuksia.

”Androxgh0stin nousu ja sen yhdistyminen Moziin osoittavat, kuinka kyberrikolliset kehittävät jatkuvasti toimintatapojaan. Organisaatioiden onkin hyvä reagoida nopeasti ja ottaa käyttöön vahvoja tietoturvatoimia, jotka voivat tunnistaa ja torjua nämä kehittyneet uhat ennen merkittäviä vahinkoja”, kommentoi VP of Research Maya Horowitz Check Point Softwarelta.

Suomen yleisimmät haittaohjelmat marraskuussa 2024 Check Pointin mukaan

1. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,07 %.’
2. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,19 %.
3. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,19 %.
4. Skimmer – Verkkoskimmeri eli digitaalinen skimmeri tarkoittaa haitallista JavaScript-koodia, joka upotetaan verkkokauppojen maksusivuille, usein kolmannen osapuolen haavoittuvien skriptien kautta. Tämän avulla pyritään varastamaan asiakkaiden maksutiedot maksutapahtumien yhteydessä. Esimerkiksi Magecart-ryhmä on tunnettu siitä, että se hyödyntää skimmereitä laajamittaisissa toimitusketjuhyökkäyksissä. Esiintyvyys 1,75 %.
5. Kazy – Dropper-tyyppinen haittaohjelma, joka on suunniteltu asentamaan muita haittaohjelmia tartunnan saaneille tietokoneille. Rikolliset käyttävät Kazya levittääkseen uhriensa laitteisiin lähes millaisia haittaohjelmia tahansa, kuten pankkihaittaohjelmia, tietovarkaita ja vakoiluohjelmia. Esiintyvyys 1,32 %.

Maailman yleisimmät haittaohjelmat marraskuussa 2024 Check Pointin mukaan

1. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
2. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 5 %.
3. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 3 %.
4. Formbook – Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä markkinoidaan alamaailman hakkerifoorumeilla edullisena haittaohjelmapalveluna (MaaS), ja sillä on tehokkaat väistämistekniikat. Formbook varastaa tunnistetietoja verkkoselaimista, kerää kuvakaappauksia, seuraa ja tallentaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja komento- ja hallintapalvelimelta saatujen ohjeiden mukaan.
5. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla.

Mobiilihaittaohjelmista maailmanlaajuisin yleisin marraskuussa oli Joker, Google Playssa jaettu Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla.

Toiseksi yleisin oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Googlen sovelluskaupan sovelluksissa.

Kolmanneksi yleisin oli Android-troijalainen Necro, joka pystyy lataamaan muita haittaohjelmia, näyttämään häiritseviä mainoksia ja varastamaan rahaa tilaamalla maksullisia palveluja uhrinsa tietämättä.

Check Point julkaisee listauksen myös johtavista kiristysryhmistä. Tiedot perustuvat niin kutsuttuihin ”häpeäsivustoihin” (shame sites), joilla kaksoiskiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 16 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Akira 6 prosentilla ja Killsec3 6 prosentilla.

Johtavat kiristysryhmät marraskuussa 2024 Check Pointin mukaan

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Akira – Ensimmäisen kerran vuoden 2023 alussa havaittu kiristysohjelma, joka kohdistuu sekä Windows- että Linux-järjestelmiin. Akira käyttää tiedostojen salaamiseen symmetristä salausta ja se muistuttaa toiminnoiltaan Conti v2 -kiristysohjelmaa. Akira leviää monin eri tavoin, kuten tartunnan saaneiden sähköpostiliitteiden ja VPN-päätepisteiden haavoittuvuuksien kautta. Tartunnan yhteydessä se salaa tiedostot ja lisää niihin ”.akira”-päätteen, minkä jälkeen se esittää lunnasvaatimuksen tiedostojen palauttamiseksi.
3. Killsec3 – Venäjänkielinen kyberrikollisryhmä, joka nousi esiin lokakuussa 2023. Ryhmä ylläpitää kiristysohjelma palveluna (RaaS) -alustaa sekä tarjoaa muita rikollisia palveluita, kuten DDoS-hyökkäyksiä ja niin sanottuja tunkeutumistestauspalveluja. Ryhmällä on poikkeuksellisen paljon uhreja Intiassa ja verrattain vähän Yhdysvalloissa verrattuna vastaaviin toimijoihin. KillSecin pääkohteita ovat erityisesti terveydenhuollon ja julkishallinnon sektorit.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla