Qbot Suomen yleisin haitake huhtikuussa - levitettiin uudella jakelutavalla sähköposteihin liitettyjen PDF-tiedostojen kautta

Janne Yli-Korhonen
12. toukokuuta, 2023 15:36

Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut huhtikuun 2023 haittaohjelmakatsauksensa.
CPR kertoo havainneensa viime kuussa mittavan kampanjan, jolla Qbot-haittaohjelmaa levitettiin.
Qbot oli Suomen yleisin ja maailman toiseksi yleisin haittaohjelma huhtikuussa. Qbot on pitänyt Suomen kärkipaikkaa jo muutaman kuukauden putkeen.
CPR:n mukaan Qbot-haittaohjelmaa levitettiin uudella jakelutavalla sähköposteihin liitettyjen haitallisten, suojattujen PDF-tiedostojen kautta. Kun tiedostot oli ladattu, haittaohjelma asennettiin laitteelle. Haittaohjelmaa levitettiin useilla eri kielillä ja kohteena oli organisaatioita ympäri maailmaa.

"Verkkorikolliset kehittävät jatkuvasti uusia menetelmiä rajoitusten kiertämiseksi, ja huhtikuun kampanjat ovat yksi todiste siitä, kuinka haittaohjelmat sopeutuvat selviytyäkseen. Qbot on taas hyökkäyskannalla, ja se muistuttaa jälleen kerran siitä, kuin tärkeää on ottaa käyttöön kattavat kyberturvallisuusratkaisut ja olla tarkkana sähköpostien alkuperän ja tarkoituksen suhteen", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Maailman yleisin haitake oli Agent Tesla. Se on kehittynyt RAT (Remote Access Trojan), joka pystyy varastamaan tietoja sekä tarkkailemaan ja tallentamaan näppäintoimintoja, ottamaan kuvakaappauksia ja keräämään kaikessa hiljaisuudessa uhrin käyttämien ohjelmistojen salasanoja.
Suomen listalle Agent Tesla ei kuitenkaan yllä.
Kuun osalta CPR nostaa esille Mirai-haittaohjelman, joka teki listapaluun. Myös Suomen listalla se esiintyy.
Mirai on yksi yleisimmistä IoT (Internet-of-Things, esineiden Internet) -haittaohjelmista. CPR:n tutkijat havaitsivat, että se käytti uutta nollapäivän haavoittuvuutta CVE-2023-1380 hyökätäkseen TP-Linkin reitittimiin ja lisätäkseen ne bottiverkkoonsa.
Huhtikuussa vaihtui myös useimmin kyberhyökkäysten kohteena olevien toimialojen kärki, sillä terveydenhuolto ohitti valtionhallinnon ja nousi sijalle kaksi maailmanlaajuisesti ja Pohjoismaissa. Globaalisti hyökkäysten kohteena olivat useimmin koulutus-/tutkimusalan organisaatiot, Euroopassa ja Pohjoismaissa laitetoimittajat.
Terveydenhuoltolaitoksiin kohdistuvat hyökkäykset ovat hyvin dokumentoituja, ja joissakin maissa ne ovat yhä jatkuvien hyökkäysten kohteena. Esimerkiksi Medusa-kyberrikollisryhmä kohdisti hiljattain hyökkäyksiä syöpälaitoksiin Australiassa. Ala on tuottoisa kohde hakkereille, sillä se avaa heille mahdollisuuden päästä käsiksi luottamuksellisiin potilas- ja maksutietoihin. Tällä voi olla seurauksia myös lääkeyhtiöille, sillä hyökkäykset voivat johtaa kliinisiä tutkimuksia tai uusia lääkkeitä ja laitteita koskeviin tietovuotoihin.

Suomen yleisimmät haittaohjelmat huhtikuussa 2023

1. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 6,54 %.
2. XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 3,27 %.
3. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,80 %.
4. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 1,87 %.
5. –10. GhOst, Formbook, Mirai, Parite, Danabot, Zegost – Kaikkien esiintyvyys 1,40 %.