Haittaohjelmien top 10: Mailto kiristää suomalaisia, Trickbot taas maailman yleisin
Tietoturvayhtiö Check Pointin tutkijat kertovat, että Trickbot palasi syyskuussa maailman yleisimmäksi haittaohjelmaksi. Sitä seurasi ensi kertaa top 10:een yltänyt etäkäyttötroijalainen njRAT. Suomen listaykkönen on kiristysohjelma Mailto.
ESPOO – 11. lokakuuta 2021 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut syyskuun haittaohjelmakatsauksensa. Tutkijat kertovat, että Trickbot on jälleen maailman yleisin haittaohjelma pudottuaan elokuussa hetkeksi toiselle sijalle. Nyt ensimmäistä kertaa haittaohjelmien top 10:een, toiselle sijalle, nousi etäkäyttötroijalainen njRAT.
Trickbot on pankkitroijalainen, joka voi varastaa taloudellisia tietoja, tunnuksia ja muita henkilökohtaisia tietoja sekä levittää verkossa kiristysohjelmia. Trickbot on kasvattanut suosiotaan tammikuisen Emotetin alasajon jälkeen. Sitä päivitetään jatkuvasti uusilla ominaisuuksilla ja jakelutavoilla, minkä ansiosta se on joustava ja monikäyttöinen haittaohjelma.
”Samana kuukautena, jolloin Trickbotista tuli jälleen yleisin haittaohjelma, uutisoitiin, että yksi Trickbot-jengin jäsenistä on pidätetty amerikkalaistutkimuksen seurauksena. Muiden troijalaisen vastaisessa taistelussa esitettyjen syytteiden lisäksi toivomme, että joukon valta-asema heikkenee pian, mutta matkaa on vielä jäljellä”, toteaa Check Point Softwaren tietoturvatutkijoiden ryhmää johtava Maya Horowitz.
Suomen yleisin haitake syyskuussa oli kiristysohjelma Mailto, jota esiintyi yli kahdeksassa prosentissa maan yritysverkoista.
”Viime viikolla tutkijamme kertoivat, että Suomessa on organisaatioihin kohdistuvia hyökkäyksiä tänä vuonna 96 prosenttia enemmän viikoittain kuin vuonna 2020, ja maailmanlaajuisestikin 40 prosenttia enemmän. Kuitenkin suurin osa näistä, ellei kaikki, olisi voitu estää. Yritysten tulisi viipymättä omaksua kyberturvallisuuteen ennaltaehkäisevä lähestymistapa”, sanoo Check Pointin Suomen ja Baltian maajohtaja Sampo Vehkaoja.
Suomen yleisimmät haittaohjelmat syyskuussa 2021:
- Mailto (tunnetaan myös nimellä NetWalker) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen roskapostien kautta. Esiintyvyys 8,27 %.
- XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,15 %.
- TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 2,36 %.
- Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,97 %.
- Asyncrat – Windows-troijalainen, joka lähettää tietoja kohdejärjestelmästä etäpalvelimelle. Se voi mm. ladata ja suorittaa laajennuksia, päivittää itsensä ja ottaa kuvakaappauksia. Esiintyvyys 1,97 %.
- REvil – Ensimmäistä kertaa vuonna 2019 havaittu, palveluna myyty kiristyshaittaohjelma (ransomware-as-a-service), joka salakirjoittaa uhrinsa tiedostot ja vaatii lunnaita niiden palauttamisesta. Esiintyvyys 1,18 %.
- Alienbot – Palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrien tileille ja lopulta koko laitteen hallinnan. Esiintyvyys 1,18 %.
- AZORult – Troijalainen, joka kerää tietoja tartunnan saaneesta järjestelmästä. Se voi lähettää esimerkiksi tallennettuja salasanoja, tiedostoja, kryptolompakon tietoja ja koneen profiilitietoja etäpalvelimelle. Pimeässä verkossa saatavana olevan Gazorp-työkalun avulla kuka tahansa voi isännöidä Azorult C&C-palvelinta kohtuullisen vähällä vaivalla. Esiintyvyys 1,18 %.
- Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,18 %.
- sijan jakavat haittaohjelmat: Genome, Flubot, Lokibot, Refroso, Crackonosh, Xtrat, Shiz, Ghost, Vidar, Glupteba, Qbot. Kaikkien esiintyvyys 0,79 %.
Maailman yleisimmät haittaohjelmat ja haavoittuvuudet syyskuussa 2021:
- Trickbot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 4 %.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 3 %.
- XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3 %.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Toisella sijalla oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrien tileille ja lopulta koko laitteen hallinnan. Kolmannella sijalla oli Android-haittaohjelma Flubot, joka esiintyy usein logistiikkayrityksenä ja jota levitetään tietojenkalastelutekstiviestien välityksellä. Kun käyttäjä klikkaa viestissä olevaa linkkiä, FluBot asennetaan ja hakkeri saa pääsyn puhelimen arkaluonteisiin tietoihin.
Check Pointin tutkijat listasivat myös syyskuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään ”Web Server Exposed Git Repository Information Disclosure” on yritetty hyödyntää 44 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Command Injection Over HTTP”, ja sen esiintyvyys oli 43 %. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)”, jonka esiintyvyys oli myös 43 %.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.