FakeUpdates jatkaa Suomen yleisimpänä haittaohjelmana - kiristysryhmien osalta tapahtui muutos

Janne Yli-Korhonen
10. kesäkuuta, 2025 11:59

Kyberturvallisuusratkaisujen tarjoaja Check Point Software Technologies on julkaissut toukokuun 2025 haittaohjelmakatsauksensa, jossa listataan kuukauden yleisimmät haittaohjelmat sekä muut haittaohjelmiin liittyvät tiedot.
Raportin mukaan FakeUpdates jatkoi maailman yleisimpänä haittaohjelmana, vaikuttaen 5,41 prosenttiin organisaatioista maailmanlaajuisesti. Suomessa sen esiintyvyys oli 3,80 prosenttia, ja tällä haittaohjelma pitää edelleen kärkipaikkaa.

Etähallintatroijalainen Remcos nousi Suomessa toiseksi yleisimmäksi haittaohjelmaksi. Suomessa sen esiintyvyys oli 3,38 %.
Toukokuun osalta Check Point nostaa esille muutoksen haittaohjelmaryhmissä. Ensimmäisen kerran marraskuussa 2024 havaittu SafePay -niminen ryhmä nousi toukokuussa kärkeen.

Ryhmä hyödyntää niin sanottua kaksoiskiristysstrategiaa: kohteen tiedostot salataan samalla, kun arkaluontoista tietoa varastetaan lunnaiden maksun painostamiseksi. Check Pointin mukaan ryhmän toiminta viittaa mahdollisiin yhteyksiin venäläisiin toimijoihin.

SafePay käyttää aggressiivisia neuvottelutaktiikoita, kuten suoria puheluita uhreille sekä niin kutsuttua "häpeäsivustoa", jolla julkaistaan maksamattomien uhrien varastettuja tietoja. Vaikka ryhmä ei toimi Ransomware-as-a-Service (RaaS) -mallin mukaisesti, se on jo listannut yli 200 uhriksi joutunutta organisaatiota. Erityistä huomiota herättää se, että lähes viidennes uhreista on saksalaisia toimijoita.

Toukokuussa Europol, FBI, Microsoft ja muut yhteistyökumppanit toteuttivat suuren operaation merkittävää haittaohjelmapalvelualusta Lummaa vastaan. Operaation seurauksena tuhansia verkkotunnuksia takavarikoitiin, mutta Lumman Venäjällä sijaitsevien ydinkeskusten väitettiin säilyneen toimintakunnossa. Vaikka viranomaisten isku häiritsi toimintaa, Lummaan liittyvä tieto leviää yhä lisäten pitkäaikaisia riskejä.

Suomen yleisimmät haittaohjelmat toukokuussa 2025:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka huijaa käyttäjiä asentamaan tekaistuja selainpäivityksiä. Tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista ja toimii väylänä muun muassa GootLoaderin, Dridexin ja AZORultin kaltaisille haittaohjelmille. Esiintyvyys 3,80 %.
2. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 3,38 %.
3. Androxgh0st – Pythonilla kirjoitettu bottiverkkohaittaohjelma, joka hyödyntää mm. Laravel- ja Apache-järjestelmien haavoittuvuuksia. Se varastaa arkaluonteisia tietoja kuten AWS-avaimia ja Twilio-tunnuksia, ja sitä käytetään usein pilvipalveluiden väärinkäyttöön. Esiintyvyys 0,84 %.
4. SysJoker, Shiz, Quimitchin, Kazy, Pykspa, Ngioweb, vipersoftx. – Kaikkien haittaohjelmien esiintyvyys 0,42 %.

SafePayn jälkeen toisena on kiristysohjelmapalveluna toimiva rikollisoperaatio Qilin, joka yhteistyökumppaneidensa kanssa salaa ja varastaa tietoja murrettujen organisaatioiden järjestelmistä ja vaatii niistä lunnaita, ja kolmentena on kiristysohjelma Play, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa.