Yleisimmät haittaohjelmat ja haavoittuvuudet Suomessa ja maailmalla – turbulenssia top10:ssä

Check Point Research kertoo huhtikuun haittaohjelmakatsauksessaan, että maailman yleisin haitake oli yhä Emotet. Suomen yleisimpänä kyberkiusana jatkoi kiristysohjelma Netwalker.

ESPOO – 12. toukokuuta 2022 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut huhtikuun 2022 haittaohjelmakatsauksensa. Tutkijat raportoivat, että kehittynyt, itsestään leviävä ja modulaarinen troijalainen Emotet on edelleen maailman yleisin haittaohjelma. Suomen yleisin kyberkiusa oli Netwalker, joka tunnetaan myös nimellä Mailto.

Emotetin korkeampi esiintyvyys (10 %) maaliskuussa johtui pääasiassa tietyistä pääsiäisaiheisista huijauksista. Huhtikuun laskun taustalla saattaa kuitenkin olla myös Microsoftin päätös poistaa käytöstä tietyt Office-tiedostoihin liittyvät makrot, mikä on vaikuttanut Emotetin toimintaan. On havaittu, että Emotetilla on uusi toimitustapa; se käyttää tietojenkalasteluun sähköpostiviestejä, jotka sisältävät OneDrive-URL-osoitteen. Emotet tarjoaa myös muita haittaohjelmia verkkorikollisille pimeän verkon foorumeilla, mukaan lukien pankkitroijalaiset, lunastusohjelmat, bottiverkot jne.

Lokibot-infostealer on palannut listalle, sijalle kuusi, mittavan roskapostikampanjan jälkeen. Siinä haittaohjelmaa levitettiin laillisilta laskuilta näyttävien xlsx-tiedostojen kautta. Tämä ja Formbookin nousu ovat vaikuttaneet muiden haittaohjelmien asemaan: esimerkiksi edistynyt etäkäyttötroijalainen (RAT) AgentTesla on pudonnut kolmannelle sijalle.

Maaliskuun lopussa Java Spring Frameworkista löydettiin kriittisiä haavoittuvuuksia, jotka tunnetaan nimellä Spring4Shell. Sittemmin monet uhkatoimijat ovat hyödyntäneet haavoittuvuutta levittääkseen Miraita, joka oli huhtikuun yhdeksänneksi yleisin haittaohjelma.

”Kyberuhkamaailma kehittyy jatkuvasti ja Microsoftin kaltaisten suurten yritysten toiminta vaikuttaa myös kyberrikollisten toimintaan. Siten niiden on oltava yhä luovempia haittaohjelmien levittämisessä, mikä näkyy myös Emotetin uudessa toimitustavassa,” sanoo Maya Horowitz, Check Pointin tutkimusjohtaja.

”Huhtikuussa otsikoihin nousi myös Spring4Shell-haavoittuvuus. Vaikka se ei vielä ole kymmenen yleisimmän joukossa, on haavoittuvuus vaikuttanut yli 35 prosenttiin yrityksistä maailmanlaajuisesti jo ensimmäisen kuukautensa aikana. Odotamme sen nousevan listalla ylöspäin tulevina kuukausina.”

CPR:n mukaan huhtikuussa eniten hyökkäyksiä kohdistui maailmanlaajuisesti koulutus- ja tutkimusaloille, Pohjoismaissa kuljetusalaan.

Suomen yleisimmät haittaohjelmat huhtikuussa 2022:

  1. Netwalker (tunnetaan myös nimellä Mailto) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen tietojenkalastelusähköpostien kautta. Esiintyvyys 5,65 %.
  2. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 3,91 %.
  3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,74 %.
  4. Revenge RAT – Windows-troijalainen, joka hyväksyy komentoja etäkäyttöpalvelimelta ja voi mm. kerätä järjestelmätietoja, suorittaa/päivittää tiedoston linkistä tai levyltä, ladata lisäosia sekä sulkea/käynnistää uudelleen haittaohjelman. Esiintyvyys 1,74 %.
  5. XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat usein väärinkäyttävät tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin suorittaakseen laitonta louhintaa uhrien laitteilla. Esiintyvyys 1,74 %.

Maailman yleisimmät haittaohjelmat huhtikuussa 2022:

  1. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 6 %.
  2. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 3 %.
  3. Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinpainalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 2 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrin tileille ja lopulta koko laitteen hallinnan. Toisella sijalla oli Android-haittaohjelma Flubot, joka esiintyy usein logistiikkayrityksenä ja jota levitetään tietojenkalastelutekstiviestien (smishing) välityksellä. Kun käyttäjä klikkaa viestissä olevaa linkkiä, FluBot asennetaan ja hakkeri saa pääsyn puhelimen arkaluonteisiin tietoihin. Kolmantena oli XHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen.

Check Pointin tutkijat listasivat myös huhtikuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Server Exposed Git Repository Information Disclosure”, jota on yritetty hyödyntää 46 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution” (CVE-2021-44228)”, ja sen esiintyvyys oli 46 %. Kolmannella sijalla oli ”Apache Struts ParametersInterceptor ClassLoader Security Bypass” (CVE-2014-0094, CVE-2014-0112, CVE-2014-0113, CVE-2014-0114), jonka esiintyvyys oli 45 %.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: https://blog.checkpoint.com/2022/05/11/april-2022s-most-wanted-malware-a-shake-up-in-the-index-but-emotet-is-still-on-top/

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.

Trackbacks & Pings

Vastaa