Useita haavoittuvuuksia hyödyntävä ja arkaluonteisia tietoja varastava haittaohjelma piinaa nyt Suomessa ja maailmalla

Janne Yli-Korhonen
11. joulukuuta, 2024 17:59

Kyberturvallisuusratkaisujen tarjoaja Check Point Software Technologies julkisti marraskuun 2024 haittaohjelmakatsauksensa. Tällä kertaa esille nousee nopeaa nousua tehnyt Androxgh0st-haittaohjelma.
Androxgh0st oli lokakuussa toisena Suomessa, mutta nyt se on noussut kärkeen sekä Suomessa että maailmalla. Mozi-bottiverkkoon yhdistetty Androxgh0st tekee hyökkäyksiä kriittiseen infrastruktuuriin.

Check Pointin mukaan kriittiseen infrastruktuuriin kuuluvat järjestelmät, kuten energiaverkot ja terveydenhuollon verkot, ovat kyberrikollisten ensisijaisia kohteita niiden välttämättömyyden ja haavoittuvuuksien vuoksi. Näiden järjestelmien häirintä voi aiheuttaa laajamittaista kaaosta, taloudellisia menetyksiä ja jopa vaarantaa ihmisten turvallisuuden.
Androxgh0st hyödyntää haavoittuvuuksia eri alustoilla, kuten IoT-laitteissa ja verkkopalvelimissa, jotka ovat kriittisen infrastruktuurin keskeisiä osia.

Mozin toimintatapoja jäljitellen Androxgh0st käyttää etäkoodin suorittamista ja tunnistetietojen varastamista, jotta se säilyttää jatkuvan pääsyn järjestelmiin.

Tämä mahdollistaa muun muassa palvelunestohyökkäykset (DDoS) ja tietovarkaudet.

Bottiverkko tunkeutuu kriittiseen infrastruktuuriin korjaamattomien haavoittuvuuksien kautta, ja Mozin ominaisuuksien lisääminen on merkittävästi laajentanut Androxgh0stin toimintamahdollisuuksia.

"Androxgh0stin nousu ja sen yhdistyminen Moziin osoittavat, kuinka kyberrikolliset kehittävät jatkuvasti toimintatapojaan. Organisaatioiden onkin hyvä reagoida nopeasti ja ottaa käyttöön vahvoja tietoturvatoimia, jotka voivat tunnistaa ja torjua nämä kehittyneet uhat ennen merkittäviä vahinkoja", kommentoi VP of Research Maya Horowitz Check Point Softwarelta.

Suomen listalla esille nousee myös toisena oleva Joker, joka on mobiilihaittaohjelma. Joker varastaa edelleen tekstiviestejä, yhteystietoja ja laitetietoja samalla, kun se huomaamatta tilaa käyttäjän puolesta maksullisia palveluita.

Suomen yleisimmät haittaohjelmat marraskuussa 2024

1. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,07 %.
2. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,19 %.
3. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,19 %.
4. Skimmer – Verkkoskimmeri eli digitaalinen skimmeri tarkoittaa haitallista JavaScript-koodia, joka upotetaan verkkokauppojen maksusivuille, usein kolmannen osapuolen haavoittuvien skriptien kautta. Tämän avulla pyritään varastamaan asiakkaiden maksutiedot maksutapahtumien yhteydessä. Esimerkiksi Magecart-ryhmä on tunnettu siitä, että se hyödyntää skimmereitä laajamittaisissa toimitusketjuhyökkäyksissä. Esiintyvyys 1,75 %.
5. Kazy – Dropper-tyyppinen haittaohjelma, joka on suunniteltu asentamaan muita haittaohjelmia tartunnan saaneille tietokoneille. Rikolliset käyttävät Kazya levittääkseen uhriensa laitteisiin lähes millaisia haittaohjelmia tahansa, kuten pankkihaittaohjelmia, tietovarkaita ja vakoiluohjelmia. Esiintyvyys 1,32 %.