Yleisimmät haittaohjelmat Suomessa ja maailmalla: salattu haittaohjelma ujuttautuu julkiseen pilveen
Check Point Software kertoo toukokuun haittaohjelmakatsauksessaan, että Suomen ja koko maailman yleisin haittaohjelma oli Qbot-pankkitroijalainen. Listalla neljänneksi nousi GuLoaderin innovatiivinen pilvipohjainen versio. Pohjoismaissa ja Euroopassa hyökkäysten kohteena olivat useimmin julkiset palvelut, kuljetusalan organisaatiot ja ohjelmistotoimittajat.
ESPOO – 12. kesäkuuta 2023 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut toukokuun 2023 haittaohjelmakatsauksensa.
Tutkijat raportoivat uudesta shellcode-pohjaisen GuLoader-haittaohjelman versiosta, joka oli viime kuun neljänneksi yleisin haittaohjelma. Täysin salattujen kuormien ja analyysia estävien tekniikoiden avulla uusin muoto voidaan tallentaa havaitsematta tunnettuihin julkisiin pilvipalveluihin, mukaan lukien Google Drive.
GuLoader-haittaohjelmaan, jota kyberrikolliset käyttävät laajalti virustorjunnan ohittamiseen, on tehty merkittäviä muutoksia. Viimeisimmässä versiossa käytetään kehittynyttä tekniikkaa, jossa haittaohjelma korvaa koodin laillisessa prosessissa. Tämä tekniikka auttaa sitä välttämään tietoturvatyökaluja, jotka seuraavat prosesseja. Haittaohjelman kuormat ovat täysin salattuja ja ne on tallennettu havaitsemattomina tunnettuihin julkisiin pilvipalveluihin, kuten Google Driveen. Tämä ainutlaatuinen yhdistelmä salausta, raakaa binäärimuotoa ja lataajasta erottelua tekee haittaohjelman kuormista näkymättömiä virustorjuntaohjelmille. Tämä on merkittävä uhka käyttäjille ja yrityksille ympäri maailmaa.
Suomen ja koko maailman yleisin haittaohjelma oli Qbot-pankkitroijalainen. Maailman yleisin mobiilihaittohjelma oli Anubis. Huolimatta yrityksistä hidastaa haittaohjelmien leviämistä estämällä Office-tiedostojen makrot, Qbot-toimijat ovat mukauttaneet nopeasti haittaohjelman jakelua ja toimitusta. Sen on hiljattain havaittu hyödyntävän Windows 10:n WordPad-ohjelman DLL-virhettä (Dynamic Link Library) tietokoneiden tartuttamiseksi.
”Verkkorikolliset käyttävät yhä useammin julkisia työkaluja ja palveluja haittaohjelmakampanjoiden levittämiseen. Lähteen luotettavuus ei enää takaa täyttä turvaa,” sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.
”Organisaatioiden tulisi viipymättä kouluttaa henkilöstöään epäilyttävän toiminnan tunnistamiseksi. Suosittelemme, ettei henkilökohtaisia tietoja paljasteta tai liitetiedostoja ladata, ellei viestin aitoudesta ja luotettavuudesta olla varmoja. Lisäksi on ratkaisevan tärkeää, että organisaatioilla on käytössään kehittyneitä tietoturvaratkaisuja, kuten Check Point Horizon XDR/XPR, jotka voivat tehokkaasti tunnistaa haitallisen toiminnan ja tarjoavat lisäsuojaa kehittyneitä uhkia vastaan.”
Koulutus- ja tutkimusala oli toukokuussa yhä eniten hyökkäysten kohteena oleva toimiala maailmanlaajuisesti. Pohjoismaissa ja Euroopassa hyökkäysten kohteena olivat useimmin julkiset palvelut, kuljetusalan organisaatiot ja ohjelmistotoimittajat.
Suomen yleisimmät haittaohjelmat toukokuussa 2023:
- Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 4,37 %.
- Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 3,93 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,62 %.
- XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 2,18 %.
- –10. Injuke, NJRat, GhOst, Formbook, Esfury, Zegost– Kaikkien esiintyvyys 1,31 %.
Maailman yleisimmät haittaohjelmat toukokuussa 2023:
- Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 6 %.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 5 %.
- Agent Tesla – Kehittynyt RAT, joka pystyy varastamaan tietoja sekä tarkkailemaan ja tallentamaan näppäintoimintoja, ottamaan kuvakaappauksia ja keräämään kaikessa hiljaisuudessa uhrin käyttämien ohjelmistojen salasanoja. Esiintyvyys 3 %.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli etäkäyttötroijalainen (RAT) AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Kolmantena oli Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia.
Check Pointin tutkijat listasivat myös toukokuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Servers Malicious URL Directory Traversal”, jota on yritetty hyödyntää 49 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution (CVE-2021-44228)”, ja sen esiintyvyys oli 45 prosenttia. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)”, jonka esiintyvyys oli 44 prosenttia.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: May 2023’s Most Wanted Malware: New Version of Guloader Delivers Encrypted Cloud-Based Payloads
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.
[…] Haittaohjelmat, kuten virukset, troijalaiset ja ransomware, ovat yksi yleisimmistä tietoturvariskeistä. Ne voivat päästä tietokoneelle tai mobiililaitteelle huomaamatta ja aiheuttaa suurta vahinkoa. Välttääksesi haittaohjelmia, pidä tietoturvaohjelmistot päivitettyinä ja vältä epäilyttävien linkkien ja liitetiedostojen avaamista. […]