AfterDawn logo

Kalastelusähköpostien kautta leviävä haittaohjelma nousi Suomen yleisimmäksi

Janne Yli-Korhonen Janne Yli-Korhonen

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoajan, Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut helmikuun 2024 haittaohjelmakatsauksensa.

Tuoreimmassa helmikuun 2024 globaalissa uhkaindeksissä Check Pointin tutkijat löysivät uuden FakeUpdates-kampanjan, joka nyt vaarantaa WordPress-sivustoja. Tartunnat tapahtuivat hakkeroitujen wp-admin-ylläpitäjätilien kautta, ja haittaohjelma mukautti taktiikkaansa tunkeutuakseen sivustoille käyttämällä aitojen WordPress-liitännäisten muunnettuja versioita sekä huijaamalla käyttäjiä lataamaan etäkäyttötroijalaisia.

FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia. Vaikka sen toimintaa on yritetty pysäyttää, se on edelleen merkittävä uhka verkkosivustojen turvallisuudelle ja käyttäjätiedoille. Tämä kehittynyt haittaohjelmavariantti on aiemmin yhdistetty venäläiseen Evil Corp -nimiseen verkkorikollisryhmään.

FakeUpdates-latausohjelma pitää edelleen ykköspaikkaa maailman osalta, mutta Suomessa sen syrjäytti toiseksi Injuke-troijalainen.

"Verkkosivustot toimivat nykymaailmassamme digitaalisina markkinapaikkoina, jotka ovat elintärkeitä viestinnälle, kaupankäynnille ja yhteyksien luomiselle. Niiden suojeleminen verkkouhilta ei ole vain koodin suojaamista, vaan kyse on verkkoläsnäolomme ja usein yhteiskuntamme keskeisten toimintojen turvaamisesta. Jos verkkorikolliset päättävät käyttää niitä välineenä esimerkiksi haittaohjelmien salaiseen levittämiseen, seuraukset voivat olla huomattavat organisaation taloudelle ja maineelle. Ennakoiviin toimiin ryhtyminen ja tiukan nollatoleranssin noudattaminen ovat keskeisiä keinoja varmistaa kattava suojaus erilaisia uhkia vastaan", sanoo Maya Horowitz, VP Research Check Point Softwarelta.

Injuke leviää sähköpostien välityksellä. Mikäli se päätyy laitteelle, haittaohjelma salaa kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen.


Maailman osalta toisena helmikuussa oli Qbot, joka puolestaan Suomessa esiintyy Top 10 -listan häntäpäässä. Suomessa kolmanneksi on noussut Tofsee, joka on Windowsiin kohdistuva haittaohjelma.

Suomen yleisimmät haittaohjelmat helmikuussa 2024

  1. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 2,30 %.
  2. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,38 %.
  3. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,92 %.
  4. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 0,92 %.
  5. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan. Haittaohjelma on suunniteltu antamaan pahansuoville käyttäjille etähallinta tartunnan saaneeseen tietokoneeseen. Esiintyvyys 0,92 %.
  6. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 0,92 %.
  7. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. CoinLoader leviää esimerkiksi haitallisten sähköpostin liitetiedostojen tai tartunnan saaneiden verkkosivustojen kautta. Esiintyvyys 0,92 %.
  8. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,92 %.
  9. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 0,92 %.
  10. Shiz – Takaoviohjelma, joka piiloutuu Windows-prosesseihin ja pitää yhteyttä useisiin ohjauspalvelimiin. Esiintyvyys 0,46 %.

Helmikuun johtavat kiristysryhmät

Check Point Research julkaisee nykyään myös tietoja kiristysryhmistä. Tiedot perustuvat lähes kahteen sataan kiristysryhmien ylläpitämään "häpeäsivustoon". Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 20 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat Play 8 prosentilla ja 8Base 7 prosentilla.

LockBitiä vastaan toteutettiin helmikuun lopulla 10 eri maan viranomaisten toimesta yhteinen operaatio, jossa suljettiin LockBitin sivuja. Operaatio vaikutti jonkin verran LockBitin toimintaan, mutta kokonaan toimintaa ei ole onnistuttu ajamaan alas.

  1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
  2. Play – Play-hakkeriryhmä käyttää kiristysohjelmistoa. Tällaiseksi luokiteltu haittaohjelma toimii enkryptaamalla tietoja ja vaatimalla lunnaita salauksen purkamiseksi.
  3. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022. Ryhmä nousi esiin vuoden 2023 keskivaiheilla lisääntyneen toimintansa ansiosta. 8Base on käyttänyt useita kiristysohjelmavariantteja, joista Phobos on yleisesti käytetty. Tämän ryhmän toiminta on kehittynyttä, ja se käyttää kaksoiskiristystaktiikkaa.

KOMMENTOI

Haluatko kommentoida tätä artikkelia?
Kirjaudu sisään tai Luo uusi käyttäjätunnus.