Yleisimmät haittaohjelmat Suomessa ja maailmalla, syöttinä Ukrainan sota

Check Point Research kertoo helmikuun haittaohjelmakatsauksessaan, että maailman yleisin haitake oli Emotet, joka houkuttelee Ukrainan sotaan liittyvistä aiheista kiinnostuneita lataamaan haitallisia sähköpostiliitteitä. Suomen yleisin kyberkiusa helmikuussa oli kiristysohjelma Netwalker.

ESPOO – 9. maaliskuuta 2022 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut helmikuun 2022 haittaohjelmakatsauksensa. Tutkijat raportoivat, että Emotet on edelleen yleisin haittaohjelma vaikuttaen viiteen prosenttiin organisaatioista maailmanlaajuisesti. Trickbot on pudonnut haittaohjelmien top10-listan kuudennelle sijalle.

Trickbot on bottiverkko ja pankkitroijalainen, joka varastaa talous- ja tilitietoja ja henkilökohtaisia ​​tunnistetietoja sekä levittää kiristyshaittaohjelmia verkon sisällä. Vuonna 2021 se ylsi yleisimpien haittaohjelmien kärkeen seitsemän kertaa. Viime viikkoina Check Point Research ei kuitenkaan ole havainnut uusia Trickbot-kampanjoita. Tämä voi johtua osittain siitä, että jotkut Trickbotin jäsenet ovat liittyneet kiristyshyökkäyksiä tekevään Conti-ryhmään.

CPR kertoo myös, että verkkorikolliset hyödyntävät nyt ihmisten kiinnostusta Ukrainan sotaan liittyviin aiheisiin ja houkuttelevat sen varjolla lataamaan haitallisia liitteitä. Tästä on esimerkkinä helmikuun yleisin haittaohjelma Emotet, jonka haitallisia tiedostoja sisältävien sähköpostien aiheena on ”Recall: Ukraine-Russia Military conflict: Welfare of our Ukrainian Crew member”.

”Tällä hetkellä useat haittaohjelmat, kuten Emotet, pyrkivät hyötymään ihmisten kiinnostuksesta Ukrainan sotaan, ja luovat sähköpostikampanjoita, joiden tarkoituksena on saada ihmiset lataamaan haitallisia liitteitä. On aina tärkeää tarkistaa, että lähettäjän sähköpostiosoite on aito, ja tarkkailla mahdollisia kirjoitusvirheitä viesteissä. Liitteitä ei pidä avata eikä linkkejä klikata, ellei ole varma sähköpostin turvallisuudesta”, muistuttaa VP Research Maya Horowitz Check Pointilta.

CPR:n mukaan maailmanlaajuisesti eniten hyökkäyksiä kohdistui helmikuussa koulutus- ja tutkimusaloille, joita seurasivat valtionhallinto/puolustusvoimat ja ISP/MSP-palveluntarjoajat. Suomessa hyökättiin useimmin seuraaville aloille (alkaen yleisimmistä): matkailu-, majoitus-, ravintola- ja vapaa-ajanpalveluala, julkiset palvelut, ISP/MSP-palveluntarjoajat, tukku- ja vähittäiskauppa, koulutus/tutkimus, julkinen hallinto ja maanpuolustus, SI/VAR/jakelijat, ohjelmistotoimittajat, vakuutus/lakiasiat, viestintä, rahoitus/pankkitoiminta, teollisuus, terveydenhuolto ja konsultointi. Pohjoismaissa hyökkäyksiä kohdistui eniten kuljetusalaan, viestintään, hallintoon ja maanpuolustukseen, koulutukseen ja tutkimukseen sekä julkisiin palveluihin.

Suomen yleisimmät haittaohjelmat helmikuussa 2022:

1. Netwalker (tunnetaan myös nimellä Mailto) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen tietojenkalastelusähköpostien kautta. Esiintyvyys 4,56 %.
2. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,66 %.
3. Snake KeyLogger – Modulaarinen .NET-näppäilytallennin ja kirjautumistietojen varastaja, joka havaittiin ensimmäisen kerran marraskuussa 2020. Tallentaa uhrin näppäinpainallukset ja lähettää kerätyn datan ulkopuolisille. Esiintyvyys 2,28 %.
4. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,90 %.
5. Banload – Troijalainen, joka lataa ei-toivottuja tiedostoja etäpalvelimista uhrien koneeseen. Esiintyvyys 1,52 %.
6. Glupteba – Vuonna 2011 löydetty takaovi, joka on vähitellen kehittynyt bottiverkoksi. Esiintyvyys 1,14 %.
7. GandCrab – Palveluna myytävä kiristyshaitake (ransomware-as-a-service), jonka kehittäjät ottavat kiristystuloista 30–40 prosenttia. Sen arvioidaan vaikuttaneen yli 1,5 miljoonaan Windows-käyttäjään ennen toiminnan pysähtymistä vuonna 2019. Kaikille GandCrab-versioille on olemassa salauksen purkutyökalut. Esiintyvyys 1,14 %.
8. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 1,14 %.
9. GhOst – Backdoor.Win32.Ghost on Windows-alustaan kohdistuva takaovi. Haittaohjelma on suunniteltu antamaan vilpilliselle käyttäjälle tartunnan saaneen tietokoneen etähallinta. Esiintyvyys 1,14 %.
10. Wannacry, Vidar, Ursnif, Sohanad, Trickbot, LoudMiner, Tofsee, AgentTesla, Crackonosh, Genome, AsyncRat – Kaikkien esiintyvyys 0,76 %.

Maailman yleisimmät haittaohjelmat helmikuussa 2022:

1. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 5 %.
2. Trickbot – Bottiverkko ja pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 3 %.
3. Glupteba – Vuonna 2011 löydetty takaovi, joka on vähitellen kehittynyt bottiverkoksi. Esiintyvyys 2 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli kiinalaisen hakkeriryhmän kehittämä XLoader, joka levittää tartunnan saaneita sovelluksia keräten niiden avulla pankki- ja henkilötietoja.Toisella sijalla oli XHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmantena oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrin tileille ja lopulta koko laitteen hallinnan.

Check Pointin tutkijat listasivat myös helmikuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Server Exposed Git Repository Information Disclosure”, jota on yritetty hyödyntää 46 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution” (CVE-2021-44228), ja sen esiintyvyys oli 44 %. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution” (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756), jonka esiintyvyys oli 41 %.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: https://blog.checkpoint.com/2022/03/09/february-2022s-most-wanted-malware-emotet-remains-number-one-while-trickbot-slips-even-further-down-the-index/

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.