Tässä Suomen yleisimmät haittaohjelmat - Tekoälyllä kehitetyt haittaohjelmat yleistyvät

Tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut syyskuun 2024 haittaohjelmakatsauksensa. Tällä kertaa esille nousevat tekoälyllä tuotetut haittaohjelmat.

Check Pointin mukaan tutkijat ovat havainneet rikollisten todennäköisesti käyttäneen tekoälyä kehittääkseen skriptin, joka levittää AsyncRAT-haittaohjelmaa. Tämä haittaohjelma on nyt noussut kymmenenneksi yleisimpien haittaohjelmien listalla maailman osalta.

Hyökkäyksessä käytettiin HTML-smuggling-tekniikkaa, jossa salasanasuojattu ZIP-tiedosto haitallisella VBScript-koodilla lähetettiin käynnistämään tartuntaketju uhrin laitteella.

Hyvin jäsennelty ja kommentoitu koodi viittaa tekoälyn käyttöön, Check Point kertoo.

Kun skripti suoritettiin, AsyncRAT asentui laitteelle, mikä antoi hyökkääjälle mahdollisuuden tallentaa näppäinpainalluksia, hallita laitetta etänä ja asentaa muita haittaohjelmia.

Check Pointin mukaan tämä havainto korostaa kasvavaa trendiä, jossa myös rajoitetut tekniset taidot omaavat kyberrikolliset pystyvät tekoälyn avulla kehittämään haittaohjelmia entistä helpommin.

"Se, että hyökkääjät ovat alkaneet hyödyntää generatiivista tekoälyä hyökkäysinfrastruktuurissaan, osoittaa kyberhyökkäystaktiikoiden jatkuvan kehittymisen. Kyberrikolliset hyödyntävät yhä enemmän saatavilla olevia teknologioita tehostaakseen toimintaansa. Tämä korostaa ennakoivien tietoturvastrategioiden, kuten kehittyneiden torjuntamenetelmien ja kattavan henkilöstökoulutuksen, tärkeyttä organisaatioille", Check Point Softwaren tutkimusjohtaja Maya Horowitz kommentoi.

Suomen yleisimpien haittaohjelmien kärjessä on edelleen FakeUpdates, joka levittää muita haittaohjelmia. Esille nousee myös edelleen neljäntenä oleva Joker, joka on Google Play -kaupassa oleva Android-haittaohjelma. Se on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla.

Suomen yleisimmät haittaohjelmat syyskuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 4,65 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 4,19 %.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 3,26 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,33 %.
5. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien ja hallitsi parhaimmillaan yli miljoonaa tartunnan saanutta isäntäkonetta. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 2,33 %.
6. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 1,86 %.
7. Zergeca – Kehittynyt, Golang-kielellä kirjoitettu bottiverkko, joka on ensisijaisesti suunniteltu suorittamaan hajautettuja palvelunestohyökkäyksiä (DDoS) ja kykenee hyödyntämään useita hyökkäysmenetelmiä. DDoS-ominaisuuksien lisäksi Zergeca toimii takaovena ja tarjoaa ominaisuuksia, kuten välityspalvelin, skannaus, tiedostonsiirto ja käänteiskuori. Se käyttää DNS-over-HTTPS (DoH) -tekniikkaa komento- ja valvontapalvelimen nimipalvelun selvitykseen ja hyödyntää Smux-kirjastoa salattuun viestintään. Esiintyvyys 1,86 %.
8. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 1,40 %.
9. KrustyLoader – KrustyLoader on Rust-kielellä kehitetty haittaohjelma, joka on suunniteltu lataamaan Cobalt Strikea muistuttavan Sliver-hyökkäystyökalun. Se hyödyntää kahta hiljattain paljastettua nollapäivähaavoittuvuutta, CVE-2024-21887 ja CVE-2023-46805, jotka löytyvät Ivantin etäkäyttöön tarkoitetusta VPN-ohjelmistosta. Nämä haavoittuvuudet mahdollistavat todennusta vaatimattoman etäkoodin suorittamisen ja todennuksen ohittamisen. Raporttien mukaan kehittyneet pysyvät uhkatoimijat (APT, advanced persistent threat) ovat nopeasti alkaneet hyödyntää näitä haavoittuvuuksia haittaohjelman levittämiseksi. Esiintyvyys 1,40 %.
10. NJRat – Etähallintatroijalainen (tunnetaan myös nimellä Bladabindi), jonka on kehittänyt M38dHhM-hakkeriryhmä ja joka havaittiin ensimmäisen kerran vuonna 2012. Sitä on käytetty pääasiassa Lähi-idässä, ja kohteina ovat olleet erityisesti valtiolliset toimijat ja organisaatiot. NJRat pystyy tallentamaan näppäinpainalluksia, hallitsemaan uhrin kameraa etänä, varastamaan selaimiin tallennettuja tunnistetietoja, lataamaan ja siirtämään tiedostoja, manipuloimaan prosesseja ja tiedostoja sekä tarkastelemaan uhrin työpöytää. Se tartuttaa uhreja tietojenkalasteluhyökkäysten ja drive-by-latausten kautta ja leviää myös saastuneiden USB-tikkujen tai verkkoasemien kautta. Haittaohjelma toimii komento- ja hallintapalvelimen avulla. Esiintyvyys 0,93 %.

Kiristysryhmien osalta viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 17 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Play 10 prosentilla ja Qilin 5 prosentilla.

• tekoäly
• haittaohjelma
• Check Point