Trickbot-troijalainen nousi helmikuussa ensi kertaa yleisimmäksi haittaohjelmaksi – taustalla Emotet-bottiverkon hajottaminen

Tietoturvayhtiö Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut jälleen kuukausittaisen haittaohjelmakatsauksensa, tällä kertaa helmikuun osalta.

Tutkimuksen mukaan Trickbot-troijalainen oli helmikuussa haittaohjelmien yleisyyttä mittavan listan kärkisijalla ensimmäistä kertaa. Tammikuussa se oli listan kolmantena.

Check Pointin tutkijoiden mukaan tammikuisen Emotet-bottiverkon hajottamisen jälkeen verkkorikolliset ovat hyödyntäneet muita huippuunsa hiottuja haitakkeita, kuten Trickbotia, ja käyttäneet uusia tekniikoita vilpillisessä toiminnassaan. Helmikuussa Trickbotia jaettiin roskapostikampanjalla, jossa yritettiin huijata laki- ja vakuutusalan väkeä lataamaan koneelleen haitallisen JavaScript-tiedoston sisältävä .zip-arkisto. Kun tiedosto tämän jälkeen avataan, se yrittää ladata haitallisen hyötykuorman etäpalvelimelta.

Suomessa Trickbot oli helmikuussa haittaohjelmien TOP10-listan kuudennella sijalla. Kärkisijan otti Growtopia, jota esiintyi lähes seitsemässä prosentissa maan yritysverkoista maailmanlaajuisen esiintyvyyden ollessa 0,17.

Jo vuonna 2020 Trickbot oli maailman neljänneksi yleisin haittaohjelma, ja sitä havaittiin kahdeksassa prosentissa organisaatioista. Check Pointin mukaan sillä oli keskeinen rooli myös yhdessä viime vuoden huomattavimmista ja kalleimmista verkkohyökkäyksistä, joka kohdistui Yhdysvaltain johtavaan terveydenhuollon tarjoajaan, Universal Health Servicesiin (UHS). Yritykseen iski kiristyshaittaohjelma Ryuk, ja hyökkäyksen kerrotaan maksaneen yritykselle 67 miljoonaa dollaria menetettyinä tuloina ja kustannuksina. Hyökkääjät käyttivät Trickbotia tietojen keräämiseen UHS:n järjestelmistä ja sitten kiristysohjelman käynnistämiseen.

”Rikolliset jatkavat käytettävissä olevien haittaohjelmien ja muiden työkalujen hyödyntämistä. Trickbot on suosittu monipuolisuutensa ja aiempien hyökkäystensä menestymisen vuoksi”, sanoo Check Pointin Director, Threat Intelligence & Research, Products -johtaja Maya Horowitz.

”Osasimme odottaa tätä. Vaikka levinnein haittaohjelma poistetaan, jäljelle jää monia muita, jotka aiheuttavat edelleen suurta vaaraa tietoverkoille maailmanlaajuisesti. Organisaatioiden on varmistettava, että niillä on vankat turvajärjestelmät verkkojen vaarantumisen estämiseksi ja riskien minimoimiseksi. On ensiarvoisen tärkeää kouluttaa työntekijät tunnistamaan Trickbotia ja muita haittaohjelmia levittäviä haitallisia sähköpostityyppejä”, hän jatkaa.

Mobiilihaittaohjelmien maailmanlaajuisella TOP-listalla ensimmäisenä oli helmikuussa Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa haittaohjelman tarkoitus on levittää mainoksia.

Toiseksi yleisin mobiilihaittaohjelma oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli mobiililaitteiden etäyhteyden mahdollistava MRAT-troijalainen (Mobile Remote Access Trojan) FurBall, jonka iranilainen valtiollisten hakkereiden APT-ryhmä on ottanut käyttöön. FurBallin ominaisuuksiin kuuluu tekstiviestien varastaminen, puhelulokit, puheluiden tallennus, mediatiedostojen keruu, sijainnin seuranta ja paljon muuta.

Suomen yleisimmät haittaohjelmat helmikuussa 2021

1. Growtopia – Esiintyvyys 6,62 %.
2. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2,94 %.
3. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 2,21 %.
4. Ryuk – Kiristyshaittaohjelma, jota on käytetty kohdennettuihin ja hyvin suunniteltuihin hyökkäyksiin organisaatioihin ympäri maailmaa. Se salaa tietokoneisiin, palvelimiin ja datakeskuksiin tallennettuja tiedostoja ja pyytää tietojen vapauttamisesta isoja, jopa 320 000 dollarin lunnaita bitcoineissa. Esiintyvyys 1,84 %.
5. Glupteba – Vuodesta 2011 tunnettu takaovi, joka kypsyi vähitellen botnetiksi. Esiintyvyys 1,84 %.
6. TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 1,84 %.
7. Arkei – Troijalainen, joka varastaa luottamuksellisia tietoja, kuten kirjautumistunnuksia. Esiintyvyys 1,10 %.
8. Zloader – Haittaohjelma, joka varastaa pankkitunnusten lisäksi uhrin verkkoselaimiin tallennettuja salasanoja ja evästeitä. Esiintyvyys 0,74 %.
9. Princess – Kiristyshaittaohjelma. Esiintyvyys 0,74 %.
10. –13. PsKill, Remcos, Neshta, Cryxos – Kaikkien esiintyvyys 0,74 %.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet helmikuussa 2021

1. Trickbot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 3 %.
2. XMrig – Avoimen lähdekoodin louhintaohjelma, jota käytetään Moneron louhintaan. Esiintyvyys 3 %.
3. QBot – (aka Qakbot) Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla