Tässä Suomen yleisimmät haittaohjelmat elokuussa - Kiristyshaittaohjelmien ansaintamallissa tapahtunut muutos

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut elokuun 2024 haittaohjelmakatsauksensa.

Tällä kertaa katsauksessa keskitytään enemmänkin kiristyshaittaohjelmiin. Check Point aloitti muutamia kuukausia sitten listaamaan katsauksessaan kolme yleisintä kiristysryhmää.

Elokuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 15 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Meow 9 prosentilla ja Lockbit3 8 prosentilla.

RansomHubin Ransomware-as-a-Service (RaaS) -operaatio on kasvanut nopeasti sen jälkeen, kun se vaihtoi nimensä aiemmin tunnetusta Knight-kiristyshaittaohjelmasta. Se on hyökännyt jo yli 210 kohteeseen ympäri maailmaa.

Elokuussa RansomHub vahvisti asemansa merkittävimpänä kiristysohjelmauhkana, kuten FBI:n, CISA:n, MS-ISAC:n ja HHS:n yhteislausunnossa todetaan. Tämä RaaS-operaatio on hyökännyt aggressiivisesti Windows-, macOS- ja Linux-järjestelmiin, erityisesti VMware ESXi -ympäristöihin. Hyökkäyksissä on hyödynnetty kehittyneitä salaustekniikoita.

"RansomHubin nousu elokuun suurimmaksi kiristyshaittaohjelmauhaksi korostaa RaaS-operaatioiden yhä kasvavaa kehittyneisyyttä", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Toisena listalla on Conti-kiristyshaittaohjelman vuotaneesta koodista alkunsa saanut Meow-kiristyshaittaohjelma. Meow käyttää erilaista ansaintamallia, sillä se myy varastetut tiedot korkeimman tarjouksen tehneelle. Perinteisesti kiristyshaittaohjelmat pyrkivät painostamaan uhreja maksamaan lunnaat.

"Organisaatioiden on oltava nyt valppaampia kuin koskaan. Meow-kiristyshaittaohjelman nousu kuvastaa kiristyshaittaohjelmaoperaattoreiden siirtymistä uuteen ansaintamalliin, jossa hyödynnetään tietovuotojen kauppapaikkoja. Varastettua tietoa myydään yhä useammin kolmansille osapuolille sen sijaan, että se julkaistaisiin verkossa. Näiden uhkien kehittyessä yritysten on pysyttävä hereillä, otettava käyttöön ennakoivia turvatoimia ja vahvistettava jatkuvasti suojaustaan entistä kehittyneempiä hyökkäyksiä vastaan", Horowitz jatkaa.

Haittaohjelmien listalla Suomessa kärjessä jatkaa FakeUpdates, jonka avulla levitetään muita haittaohjelmia. Toisena ja kolmantena on bottiverkot Androxgh0st ja Phorpiex.

Esille nousee myös neljäntenä oleva Joker-vakoiluohjelma, joka piinaa Android-laitteita Google Play -kaupassa. Olemme tästä haittaohjelmasta ennenkin uutisoineet vuosien varrella.

Suomen yleisimmät haittaohjelmat elokuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 7,55 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,77 %.
3. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien ja hallitsi parhaimmillaan yli miljoonaa tartunnan saanutta isäntäkonetta. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 3,30 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,36 %.
5. BMANAGER – BMANAGER on uhkatoimija Boolkan kehittämä modulaarinen troijalainen, joka on suunniteltu edistyneeseen tiedonkeruuseen vaarantuneista järjestelmistä. Vuodesta 2022 lähtien BMANAGER on ollut osa Boolkan kehitystä kohti monimutkaisia haittaohjelmastrategioita. Sen sisältämät komponentit on räätälöity tiettyihin toimintoihin, kuten näppäinpainallusten kirjaamiseen, tiedostojen varastamiseen ja tietojen siirtämiseen. BMANAGER pystyy lataamaan tiedostoja C2-palvelimelta, hallitsemaan Windowsin käynnistystehtäviä ja suorittamaan tiedostoja. Se leviää ensisijaisesti verkkosivustojen haavoittuvuuksia hyödyntävien SQL-injektiohyökkäysten kautta, mahdollistaen käyttäjän tietojen huomaamattoman varastamisen. Esiintyvyys 1,89 %.
6. Qbot – Monikäyttöinen haittaohjelma (tunnetaan myös nimellä Qakbot) ilmestyi alun perin pankkitroijalaisena vuonna 2007 ja on kehittynyt työkaluksi tunnistetietojen varastamiseen, kiristyshaittaohjelmien levittämiseen ja takaovien avaamiseen saastuneisiin järjestelmiin. Pahamaineinen TA577-ryhmä on levittänyt Qbotia tehokkaasti edistyneillä tietojenkalastelukampanjoilla. Viranomaiset yrittivät elokuussa 2023 alasajaa Qbotin toiminnan, mutta se osoitti huomattavaa sitkeyttä ja sopeutumiskykyä. Joulukuusta 2023 lähtien Qbot on ollut jälleen nousussa, kun uhkatoimijat ovat kehittäneet siitä uusia versioita. Haittaohjelma leviää erityisesti kohdennetuilla tietojenkalastelukampanjoilla, haavoittuvuuksien hyväksikäytöllä ja haitallisten mainosten välityksellä. Esiintyvyys 1,42 %.
7. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,42 %.
8. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,42 %.
9. KrustyLoader – Esiintyvyys 1,42 %.
10. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 0,94 %.

Tarkemmat tiedot maailman osalta haittaohjelmista saa Check Pointin blogikirjoituksesta.

• kiristyshaittaohjelma
• haittaohjelma
• Check Point