Nämä olivat yleisimmät haittaohjelmat toukokuussa – FakeUpdates jälleen kärjessä

Tietoturvayhtiö Check Point Software Technologies on julkaissut perinteisen haittaohjelmakatsauksensa toukokuun osalta.

Check Pointin mukaan FakeUpdates jatkoi maailman yleisimpänä haittaohjelmana, vaikuttaen 5,41 prosenttiin organisaatioista maailmanlaajuisesti. Suomessa sen esiintyvyys oli 3,80 prosenttia. Etähallintatroijalainen Remcos nousi Suomessa toiseksi yleisimmäksi haittaohjelmaksi.

SafePay nousi toukokuussa haittaohjelmaryhmien kärkeen. Ryhmä havaittiin ensimmäisen kerran marraskuussa 2024, ja se hyödyntää niin sanottua kaksoiskiristysstrategiaa: kohteen tiedostot salataan samalla, kun arkaluontoista tietoa varastetaan lunnaiden maksun painostamiseksi. Erityisesti haittaohjelman sisältämä kyrillisellä aakkostolla kirjoitettujen kielten poissulkeminen viittaa mahdollisiin yhteyksiin venäläisiin toimijoihin.

Toukokuussa Europol, FBI, Microsoft ja muut yhteistyökumppanit toteuttivat suuren operaation merkittävää haittaohjelmapalvelualusta Lummaa vastaan. Operaation seurauksena tuhansia verkkotunnuksia takavarikoitiin, mutta Lumman Venäjällä sijaitsevien ydinkeskusten väitettiin säilyneen toimintakunnossa. Kehittäjät saivat palautettua infastruktuurin kuntoon nopeasti.

Operaatio aiheutti merkittävää imagohaittaa, sillä viranomaiset käyttivät keinoinaan muun muassa tietojenkalastelua ja psykologista painetta levittääkseen epäluottamusta Lumman käyttäjien keskuudessa. Vaikka viranomaisten isku häiritsi toimintaa, Lummaan liittyvä tieto leviää yhä lisäten pitkäaikaisia riskejä.

Suomen yleisimmät haittaohjelmat toukokuussa 2025 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka huijaa käyttäjiä asentamaan tekaistuja selainpäivityksiä. Tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista ja toimii väylänä muun muassa GootLoaderin, Dridexin ja AZORultin kaltaisille haittaohjelmille. Esiintyvyys 3,80 %.
2. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 3,38 %.
3. Androxgh0st – Pythonilla kirjoitettu bottiverkkohaittaohjelma, joka hyödyntää mm. Laravel- ja Apache-järjestelmien haavoittuvuuksia. Se varastaa arkaluonteisia tietoja kuten AWS-avaimia ja Twilio-tunnuksia, ja sitä käytetään usein pilvipalveluiden väärinkäyttöön. Esiintyvyys 0,84 %.
4. SysJoker, Shiz, Quimitchin, Kazy, Pykspa, Ngioweb, vipersoftx. – Kaikkien haittaohjelmien esiintyvyys 0,42 %.

Maailman yleisimmät haittaohjelmat toukokuussa 2025 Check Pointin mukaan

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 5 %.
2. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 3 %.
3. Androxgh0st– Pythonilla kirjoitettu bottiverkkohaittaohjelma, joka hyödyntää mm. Laravel- ja Apache-järjestelmien haavoittuvuuksia. Se varastaa arkaluonteisia tietoja kuten AWS-avaimia ja Twilio-tunnuksia, ja sitä käytetään usein pilvipalveluiden väärinkäyttöön. Esiintyvyys 3 %

Aktiivisimmat kiristysryhmät toukokuussa 2025 Check Pointin mukaan

Kiristyshaittaohjelmat hallitsevat yhä kyberrikollisuuden kenttää. Tällä kertaa suurimmaksi uhaksi on noussut SafePay, jonka uusi operaattorisukupolvi kohdistaa hyökkäyksiään sekä suuriin yrityksiin että pienempiin toimijoihin. Näiden ryhmien käyttämät taktiikat kehittyvät yhä monimutkaisemmiksi, ja kilpailu niiden välillä kiihtyy.

1. SafePay – SafePay on kiristyshaittaohjelmaryhmä, joka havaittiin ensimmäisen kerran marraskuussa 2024. Viitteet viittaavat mahdolliseen yhteyteen Venäjään. Ryhmä käyttää niin sanottua kaksoiskiristysmallia: se salaa uhrien tiedostot ja samalla varastaa arkaluontoista dataa lisätäkseen painetta maksun saamiseksi. Vaikka SafePay ei toimi kiristyshaittaohjelmapalveluna (Ransomware-as-a-Service, RaaS), se on ilmoittanut poikkeuksellisen suuresta määrästä uhreja. Ryhmän keskitetty ja sisäisesti johdettu rakenne tuottaa johdonmukaisia taktiikoita, tekniikoita ja toimintamalleja (TTP) sekä kohdennettua toimintaa.
2. Qilin (Agenda) – Qilin (tunnetaan myös nimellä Agenda) – Kiristysohjelmapalveluna (ransomware-as-a-service, RaaS) toimiva rikollisoperaatio, joka yhteistyökumppaneidensa kanssa salaa ja varastaa tietoja murrettujen organisaatioiden järjestelmistä ja vaatii niistä lunnaita. Qilin havaittiin ensimmäisen kerran vuonna 2022, ja se on kehitetty Golang-ohjelmointikielellä. Sen kohteina ovat olleet muun muassa terveydenhuolto- ja koulutussektorin toimijat, erityisesti suuryritykset. Qilin leviää yleensä haitallisia linkkejä sisältävien tietojenkalasteluviestien kautta. Saatuaan pääsyn verkkoon se pyrkii viemään arkaluonteista tietoa ja laajentamaan pääsyään verkon sisällä salattavan datan löytämiseksi.
3. Play – Kiristysohjelma, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa. Play-kiristysohjelmat pääsevät yleensä verkkoihin vaarantuneiden tilien kautta tai hyödyntämällä paikkaamattomia haavoittuvuuksia.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla