Kyberhaitakkeiden top 10: Troijalaiset tekevät tuhoa Suomessa ja maailmalla, viestintäala kyberhyökkäysten suosituin kohde Pohjoismaissa

Check Point Software kertoo syyskuun haittaohjelmakatsauksessaan, että Formbook nousi maailman yleisimmäksi haitakkeeksi Qbotin alasajon jälkeen, ja myös Suomen listahuipulla puhalsivat uudet tuulet. Tutkijat havaitsivat syyskuussa laajan tietojenkalastelukampanjan, jonka takana on Remcos-etäkäyttötroijalainen. Hyökkäysten kohteena oli Pohjoismaissa useimmin viestintäala, maailman ja Euroopan laajuisesti koulutus- ja tutkimusala.

ESPOO – 9. syyskuuta 2023 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut syyskuun 2023 haittaohjelmakatsauksensa.

Tietoturvatutkijat kertovat, että Formbook nousi ensimmäiselle sijalle maailman yleisimpänä haittaohjelmana Qbotin alasajon jälkeen. FBI otti Qbotin bottiverkon hallintaansa elokuussa, mikä johti sen putoamiseen listakärjestä, johon Qbot sijoittui suurimman osan vuotta 2023. Suomen yleisimmät haittaohjelmat olivat troijalaiset Injuke ja Nanocore.

Check Point Research havaitsi syyskuussa myös merkittävän tietojenkalastelukampanjan, joka kohdistui yli 40 suureen yritykseen useilla toimialoilla Kolumbiassa. Sen tavoitteena oli asentaa Remcos-etäkäyttötroijalainen huomaamattomasti uhrien tietokoneisiin. Remcos, joka oli syyskuussa maailman toiseksi ja Suomen yhdeksänneksi yleisin haittaohjelma, antaa hakkerille täyden hallinnan tartunnan saaneeseen tietokoneeseen mahdollistaen esimerkiksi tietovarkaudet ja käyttäjätilien kaappaukset.

”Kolumbiassa paljastamamme kampanja antaa kuvan hyökkääjien käyttämistä monimutkaisista väistötekniikoista. Se on myös hyvä esimerkki siitä, kuinka tunkeilevia nämä tekniikat voivat olla, ja miksi meidän on kehitettävä kyberresilienssiämme erilaisten hyökkäysten varalta”, sanoo VP Research Maya Horowitz Check Point Softwarelta.

Koulutus- ja tutkimusala oli syyskuussa maailman ja Euroopan laajuisesti useimmin hyökkäysten kohteena oleva toimiala. Sitä seurasivat viestintäala sekä valtionhallinto/puolustusvoimat. Pohjoismaissa hyökkäysten kohteena oli useimmin viestintäala, jota seurasivat valtionhallinto/puolustusvoimat ja ohjelmistotoimittajat.

Suomen yleisimmät haittaohjelmat syyskuussa 2023:

1. Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta. Kun haittaohjelma on onnistuneesti lisätty, se salaa uhrin tietokoneella olevat tiedot tai estää työkalua toimimasta oikein sekä esittää samalla lunnasvaatimuksen. Esiintyvyys 1,23 %.
2. Nanocore – Windows-käyttöjärjestelmän käyttäjille suunnattu etäkäyttötroijalainen, joka havaittiin ensimmäisen kerran vuonna 2013. Se kykenee esimerkiksi näytön kaappauksiin, kryptovaluutan louhintaan ja verkkokameraistuntojen varkauksiin. Esiintyvyys 1,23 %.
3. Troldesh (eli Encoder.858 tai Shade) – Kiristysohjelma, joka salaa käyttäjän tiedot ja vaatii lunnaita niiden salauksen purkamiseksi. Troldesh leviää useimmiten roskapostin kautta. Sen ainutlaatuinen piirre on suora viestintä uhrin kanssa. Useimmat kiristysohjelmat välttävät suoraa yhteydenottoa, mutta Troldeshin uhreille annetaan sähköpostiosoite, johon he voivat ottaa yhteyttä maksaakseen lunnaat. Esiintyvyys 0,82 %.
4. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. CoinLoader leviää esimerkiksi haitallisten sähköpostin liitetiedostojen tai tartunnan saaneiden verkkosivustojen kautta. Esiintyvyys 0,82 %.
5. Crackonosh – Kryptovaluuttaa louhiva haittaohjelma, jota levitetään muun muassa tunnetuilla piraattiohjelmasivustoilla jaettavien suosittujen ohjelmistotuotteiden ja videopelien kautta. Kun Crackonosh aktivoidaan, se korvaa olennaisia Windows-palveluita. Se on suunniteltu välttämään havaitsemista sekä poistamaan virustorjuntaohjelmia tartunnan saaneista järjestelmistä. Esiintyvyys 0,82 %.
6. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 0,82 %.
7. Fakeupdates(eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 0,82 %.
8. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 0,82 %.
9. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 0,82 %.
10. Lokibot – Windows- ja Android-järjestelmien tietovaras. Kerää tunnistetietoja esimerkiksi sovelluksista, selaimista, sähköpostiohjelmista sekä IT-hallintatyökaluista. Myynnissä hakkerointifoorumeilla, ja sen lähdekoodin uskotaan vuotaneen, mikä mahdollistaa lukuiset muunnelmat. Jotkin LokiBotin Android-versiot sisältävät myös kiristysominaisuuden. Esiintyvyys 0,41 %.

Maailman yleisimmät haittaohjelmat syyskuussa 2023:

1. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 3 %.
2. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 2 %.
3. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli SpinOK, Android-laitteiden ohjelmamoduuli, joka on koodattu vakoiluohjelmaksi. Se kerää tietoja laitteelle tallennetuista tiedostoista ja pystyy välittämään niitä kyberrikollisille. Toukokuuhun 2023 mennessä haittaohjelma oli löydetty jo yli sadasta Android-sovelluksesta ja se oli ladattu laitteille 421 000 000 kertaa.

Check Pointin tutkijat listasivat myös syyskuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli Web Servers Malicious URL Directory Traversal,jota on yritetty hyödyntää 47 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), ja sen esiintyvyys oli 42 prosenttia. Kolmannella sijalla oli Zyxel ZyWALL Command Injection (CVE-2023-28771), jonka esiintyvyys oli 39 prosenttia.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: September 2023’s Most Wanted Malware: Remcos Wreaks Havoc in Colombia and Formbook Takes Top Spot after Qbot Shutdown

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.