Suomen ja maailman yleisimmät haittaohjelmat olivat FakeUpdates ja Qbot - Tietoturvatutkijat havaitsivat merkittävän kyberuhkien levittäjän

Janne Yli-Korhonen
13. helmikuuta, 2024 14:21

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoajan Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut tammikuun 2024 haittaohjelmakatsauksensa.
FakeUpdates on edelleen Suomen ykkönen. Se on pitänyt ykköspaikkaa jo muutaman kuukauden ajan. FakeUpdates on myös maailman osalta ykkönen tammikuussa.

Kyseinen haittaohjelma hyödyntää vaarantuneita verkkosivustoja ja huijaa käyttäjiä suorittamaan väärennettyjä selainpäivityksiä, joiden myötä käyttäjän laitteille päättyy muita haittaohjelmia.
Joulukuussa CPR varoitteli Qbotin mahdollisesta paluusta. Qbotin jakeluverkosto hajotettiin vuoden 2023 elokuussa ja nyt muutaman hiljaisemman kuukauden jälkeen haittaohjelma on palannut kärkisijoille. Qbot on jo toisena Suomen ja maailman osalta.

Tämä pankkitroijalainen varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä.

Suomen yleisimmät haittaohjelmat tammikuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,28 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,69 %.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,27 %.
4. Medusa – Android-laitteisiin kohdistuva pankkitroijalainen, joka havaittiin ensimmäisen kerran heinäkuussa 2020. Haittaohjelmaa levitetään Smishing (Phishing SMS) -palvelujen kautta, ja sen tiedetään kohdistuvan rahoitusorganisaatioihin Turkissa, Pohjois-Amerikassa ja Euroopassa. Haittaohjelman ominaisuuksiin lukeutuvat myös näppäimistön seurannan käyttö sekä äänen ja videon suoratoisto. Esiintyvyys 0,84 %.
5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,84 %.
6. BLINDINGCAN – Uusi etäkäyttötroijalainen (RAT), jota Pohjois-Korean pahamaineinen Lazarus-ryhmä käyttää. Esiintyvyys 0,84 %.
7. Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta. Kun haittaohjelma on onnistuneesti lisätty, se salaa uhrin tietokoneella olevat tiedot tai estää työkalua toimimasta oikein sekä esittää samalla lunnasvaatimuksen. Esiintyvyys 0,84 %.
8. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,84 %.
9. Mirai – Pahamaineinen IoT-haittaohjelma, joka jäljittää haavoittuvia IoT-laitteita, kuten web-kameroita, modeemeja ja reitittimiä, ja muuttaa ne boteiksi. Mirai-bottiverkko havaittiin ensimmäisen kerran vuonna 2016, ja se on tunnettu massiivisista DDoS-hyökkäyksistä. Esiintyvyys 0,84 %.
10. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan. Haittaohjelma on suunniteltu antamaan pahansuoville käyttäjille etähallinta tartunnan saaneeseen tietokoneeseen. Esiintyvyys 0,84 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia.

Tämän perässä tulee RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.

Merkittävä jakelujärjestelmä paljastui

Katsauksessa Check Point Research nostaa esille sen tutkijoiden löytämän laajalle levinneen liikenteenjakelujärjestelmän (traffic distribution system TDS). Se tunnetaan nimellä VexTrio.

Järjestelmän tavoitteena on haittaohjelmien levittäminen hyödyntämällä sen kehittämää monimutkaista TDS-järjestelmää, joka muistuttaa laillisia markkinointiverkostoja.

Järjestelmä on tukenut yli 60 toimijaa hyödyntäen laajaa verkostoaan, joka sisältää yli 70 000 luvattomasti käytettyä sivustoa.

Vaikka VexTrio on ollut toiminnassa vuodesta 2017, sen toiminnan laajuutta ei ole juurikaan huomattu, sillä sitä on vaikea yhdistää tiettyihin uhkatoimijoihin tai hyökkäysmenetelmiin.

Check Point Researchin mukaan laaja verkosto ja edistyneet toimintatavat tekevät siitä suuren kyberturvallisuusriskin.

"Kyberrikolliset ovat kehittyneet pelkistä hakkereista petosarkkitehdeiksi, ja VexTrio on taas yksi osoitus siitä, miten kaupallisesti suuntautunutta kyberrikollisuus on nykyään. Sekä yksilöiden että organisaatioiden turvallisuuden varmistamiseksi on tärkeää asettaa etusijalle säännölliset kyberturvallisuuspäivitykset, ottaa käyttöön kattavat päätelaitteen suojatoimet ja kehittää valppaiden verkkokäytäntöjen kulttuuria. Pysymällä ajan tasalla ja toimimalla ennakoivasti voimme yhdessä tehostaa puolustustamme vastaamaan uusiin ja kehittyviin kyberuhkiin", sanoo Maya Horowitz, VP Research Check Point Softwarelta.

LockBit3 tammikuun aktiivisin, Suomessakin tuttu Akira kolmantena

Check Point esittelee katsauksessaan ensimmäistä kertaa kiristysryhmien aktiivisuutta mittaavan rankingin, joka pohjautuu lähes 200:aan kiristysryhmien ylläpitämän "häpeäsivuston" tietojen analyysiin.

Viime kuussa LockBit3 osoittautui aktiivisimmaksi ryhmäksi ollen vastuussa 20 prosentista kaikista raportoiduista iskuista. Ryhmä oli mukana useissa tammikuun hyökkäyksissä, esimerkkeinä Subway-pikaruokaketjuun ja Chicagon Saint Anthony -sairaalaan tehdyt iskut.

Toisena tulee 10 prosentilla 8Base ja 9 prosentilla Akira. Näistä viimeisin on tullut Suomessakin tutuksi, sillä jo yli kymmenen suomalaista organisaatiota on joutunut sen kohteeksi. Viimeisimpänä kohteeksi joutui Tietoevry.

Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Kyberrikolliset pyrkivät listausten avulla painostamaan uhreja, jotka ovat kieltäytyneet maksamasta lunnaita.

1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
2. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022. Ryhmä nousi esiin vuoden 2023 keskivaiheilla lisääntyneen toimintansa ansiosta. 8Base on käyttänyt useita kiristysohjelmavariantteja, joista Phobos on yleisesti käytetty. Tämän ryhmän toiminta on kehittynyttä, ja se käyttää kaksoiskiristystaktiikkaa.
3. Akira – Akira on uusi kiristysohjelma, joka kohdistuu sekä Windows- että Linux-järjestelmiin ja havaittiin ensimmäisen kerran vuoden 2023 alussa. Akira käyttää tiedostojen salaamiseen symmetristä salausta ja se muistuttaa toiminnoiltaan Conti v2 -kiristysohjelmaa. Akira leviää monin eri tavoin, kuten tartunnan saaneiden sähköpostiliitteiden ja VPN-päätepisteiden haavoittuvuuksien kautta. Tartunnan yhteydessä se salaa tiedostot ja lisää niihin ".akira"-päätteen, minkä jälkeen se esittää lunnasvaatimuksen tiedostojen palauttamiseksi.

Globaalisti useimmin hyökkäysten kohteena oli koulutus- ja tutkimusala. Sitä seurasivat valtionhallinto/puolustusvoimat sekä terveydenhuolto. Euroopassa kärkisijalla olivat koulutus/tutkimus, valtionhallinto/puolustusvoimat sekä pankki- ja rahoitusala. Pohjoismaissa hyökkäykset kohdistuivat useimmin valtionhallintoon/puolustusvoimiin sekä koulutus- ja tutkimusalaan.