Toukokuussa kiristyshaittaohjelmia levitettiin miljoonien sähköpostiviestien välityksellä - LockBit3-kiristysryhmä hallitsee jälleen

Check Point Software Technologies on julkaissut kuukausittaisen katsauksensa haittaohjelmien osalta. Toukokuun osalta esille nousevat kiristyshaittaohjelmat ja kiristysryhmät.

Check Point Researchin tutkijat havaitsivat toukokuussa Phorpiex-bottiverkon toteuttaman haittaohjelmia levittävän roskapostikampanjan.

Kampanjassa miljoonat sähköpostiviestit sisälsivät LockBit Black -haittaohjelman, joka perustuu LockBit3:een, mutta ei ole sidoksissa kyseiseen kiristysohjelmaryhmään.

Sähköpostien sisältämät ZIP-liitteet käynnistivät kiristyshaittaohjelman salausprosessin, kun niiden sisältämät haitalliset .doc.scr-tiedostot suoritettiin. Kampanjassa käytettiin yli 1 500 yksilöllistä IP-osoitetta, pääasiassa Kazakstanista, Uzbekistanista, Iranista, Venäjältä ja Kiinasta.

Check Point Researchin mukaan alkuperäiset toimijat Phorpiex-bottiverkon taustalla lopettivat toimintansa elokussa 2021 ja myivät sen eteenpäin. Joulukuussa 2021 bottiverkko oli jo noussut uudelleen esiin Twizt-nimisenä varianttina, joka toimii hajautetussa vertaisverkkomallissa.

Check Point nostaa esille myös kiristysryhmä Lockbit3:n, joka on pienen tauon jälkeen aktivoitunut uudelleen. Tauko johtui kansainvälisestä operaatiosta, jossa suljettiin LockBitin käyttämiä sivuja ja paljastettiin yksi ryhmän johtajista.

"Vaikka lainvalvontaviranomaiset onnistuivat tilapäisesti häiritsemään LockBit3-ryhmän toimintaa paljastamalla yhden sen johtajista ja liittolaisista sekä vapauttamalla yli 7 000 LockBit-purkuavainta, tämä ei vielä riitä poistamaan uhkaa kokonaan. Ei ole yllättävää, että he ryhmittyvät uudelleen ja käyttävät uusia taktiikoita toiminnan jatkamiseksi", sanoo VP Resarch Maya Horowitz Check Point Softwarelta.

Toukokuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 33 prosentista kaikista julkaistuista tapauksista. Sitä seurasivat Inc. Ransom (7 %) ja Play (5 %).

Inc. Ransom otti hiljattain vastuun suuresta verkkohyökkäyksestä, joka häiritsi julkisia palveluja Leicesterin kaupunginvaltuustossa Isossa-Britanniassa, ja sen väitetään varastaneen yli kolme teratavua tietoja ja aiheuttaneen laajamittaisen järjestelmän alasajon.

Suomessa yleisin haittaohjelma toukokuussa oli Androxgh0st-bottiverkko. Sen toiminnasta kerrottiin tarkemmin huhtikuun katsauksessa, jolloin haittaohjelma oli Suomessa toiseksi yleisin.

Suomen yleisimmät haittaohjelmat toukokuussa 2024

1. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 2,60 %.
2. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,16 %.
3. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,30 %.
4. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana ja on ollut aktiivinen vuodesta 2014 lähtien. Se voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin, kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook. AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 1,30 %.
5. AsyncRat – Windows-troijalainen, joka lähettää tietoja kohdejärjestelmästä etäpalvelimelle. Se voi muun muassa ladata ja suorittaa laajennuksia, päivittää itsensä ja ottaa kuvakaappauksia. Esiintyvyys 1,30 %.
6. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. Esiintyvyys 1,30 %.
7. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 0,87 %.
8. Anubis – Pankki- ja etäkäyttötroijalainen, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Esiintyvyys 0,87 %.
9. Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 0,87 %.
10. CrimsonRat – Java-ohjelmointikielellä toteutettu etähallintatyökalu, joka piiloutuu luotettavalta vaikuttavaan tiedostoon. Tämä RAT leviää roskapostikampanjoiden avulla, jotka sisältävät haitallisia Microsoft Office -dokumentteja. CrimsonRat voi hallita tartunnan saaneita tietokoneita ja suorittaa erilaisia haitallisia toimintoja. Esiintyvyys 0,87 %.

• Check Point
• haittaohjelma
• LockBit
• kiristyshaittaohjelma