Androxgh0st-hyökkäyksissä huomattava kasvu - haittaohjelma nousi huhtikuussa Suomen toiseksi yleisimmäksi

Janne Yli-Korhonen
16. toukokuuta, 2024 16:09

Huhtikuun 2024 haittaohjelmakatsaus on julkaistu Check Point Researchin (CPR) toimesta.
CPR:n tutkijat ovat seuranneet Androxgh0st-hyökkääjien toimintaa sen ilmaantumisesta eli joulukuusta 2022 lähtien.

Hyökkääjät käyttävät hyödykseen eri haavoittuvuuksia ja laajentavat niiden avulla bottiverkkoa etähallintaa varten.
Androxgh0stin takana olevat toimijat on yhdistetty Adhublika-kiristysohjelman levittämiseen. Androxgh0st-toimijat hyödyntävät erityisesti Laravel-sovellusten haavoittuvuuksia varastaessaan tunnistetietoja esimerkiksi AWS-, SendGrid- ja Twilio-pilvipalveluista.

Viimeaikaiset tiedot viittaavat siihen, että he keskittyvät nyt bottiverkkojen rakentamiseen laajemman järjestelmähyökkäyksen mahdollistamiseksi.

Tutkijat havaitsivat huhtikuussa huomattavaa kasvua Androxgh0st-hyökkäyksten osalta, jonka myötä kyseinen haitake oli nyt sekä maailman että Suomen toisiksi yleisin.

Suomessa ja maailmalla kärjessä on edelleen FakeUpdates, joka oli kärjessä esimerkiksi maaliskuussa.

Suomen yleisimmät haittaohjelmat huhtikuussa 2024

  1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,55 %.
  2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Siitä on erilaisia variantteja, jotka etsivät eri tietoja. Esiintyvyys 2,13 %.
  3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,70 %.
  4. Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 1,70 %.
  5. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 1,28 %.
  6. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,28 %.
  7. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 0,28 %.
  8. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. AgentTesla on ollut aktiivinen vuodesta 2014 lähtien. Se voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin, kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook. AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,85 %.
  9. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. Esiintyvyys 0,85 %.
  10. Glubteba – Vuodesta 2011 tunnettu takaovi, joka on kehittynyt vähitellen bottiverkoksi. Vuoteen 2019 mennessä siihen sisältyivät C&C-osoitteen päivitysmekanismi julkisten Bitcoin-listojen kautta, kiinteä selainvarasominaisuus ja reitittimen hyväksikäyttötoiminto. Esiintyvyys 0,85 %.



Kuun osalta Check Point Research nostaa esille kiristyshaittaohjelmat. LockBit3 on jälleen kerran listan kärjessä 9 prosentilla julkaistuista hyökkäyksistä, Play 7 prosentilla ja 8Base 6 prosentilla.

LockBit pitää edelleen kärkipaikkaa, vaikka muutama kuukausi sitten sitä vastaan tehtiin suuri kansainvälinen operaatio. Sen maailmanlaajuinen vaikutus on kuitenkin vähentynyt yli 50 prosenttia vuoden 2024 alusta lähtien.

Lue myös nämä
Tägit
haittaohjelma Check Point
Käytämme evästeitä sivuillamme. Näin parannamme palveluamme.