Suomessakin yleinen haittaohjelma FakeUpdates on keskeinen väline kiristyshaittaohjelmahyökkäyksissä

Tammikuun 2025 haittaohjelmakatsaus on julkaistu kyberturvallisuusratkaisujen tarjoajan Check Pointin toimesta.

Tällä kertaa esille nostetaan FakeUpdates, joka on useamman kuukauden ajan ollut Suomessa kärjessä tai kärjen tuntumassa yleisempien haittaohjelmien listauksessa. Tammikuussa kyseinen haittaohjelma on kuitenkin vasta neljäs, mutta maailmalla se otti kärkipaikan.

Check Pointin mukaan FakeUpdates on merkittävä kyberuhka ja keskeinen väline kiristyshaittaohjelmahyökkäyksissä. FakeUpdates levittää muita haittaohjelmia.

Check Pointin mukaan tuore tietoturvatutkimus osoittaa, että RansomHubiin liittyvä toimija käytti Python-pohjaista takaovea (backdoor) kiristyshaittaohjelman levittämiseksi verkkoihin.

Takaovi asennettiin pian sen jälkeen, kun FakeUpdates oli saanut ensimmäisen pääsyn järjestelmään, ja siinä hyödynnettiin kehittyineistä tekniikoita sekä tekoälyavusteisia koodausratkaisuja.

"Tekoäly muokkaa kyberuhkien maisemaa vauhdilla. Rikolliset hyödyntävät AI:ta tehostaakseen, automatisoidakseen ja skaalatakseen hyökkäystapojaan. Näiden uhkien torjumiseksi organisaatioiden tulee siirtyä perinteisistä suojauksista kohti ennakoivia, mukautuvia ja tekoälypohjaisia ratkaisuja, jotka tunnistavat kehittyvät riskit ennakolta", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat tammikuussa 2025

1. Formbook – Tietovaras, joka kohdistuu Windows-käyttöjärjestelmään ja havaittiin ensimmäisen kerran vuonna 2016. Haittaohjelmaa markkinoidaan palveluna (Malware as a Service, MaaS) pimeän verkon hakkerifoorumeilla sen kehittyneiden väistötaktiikoiden ja suhteellisen edullisen hinnan vuoksi. FormBook varastaa kirjautumistietoja eri verkkoselaimista, ottaa kuvakaappauksia, seuraa ja kirjaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja etähallinta- ja komentopalvelimelta saamiensa ohjeiden mukaisesti. Esiintyvyys 1,30 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilien tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 1,30 %.
3. Cerbu – Troijalainen, joka huijaa käyttäjiä todellisesta tarkoituksestaan ja mahdollistaa luvattoman pääsyn järjestelmiin. Se toimii usein yhdessä rootkitien kanssa, jotka tarjoavat korkean tason käyttöoikeuksia ja tukevat muita haitallisia toimintoja. Esiintyvyys 0,87 %.
4. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 0,87 %.
5. Remcos – Etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä suorittamaan haittaohjelmia korkeilla järjestelmäoikeuksilla. Esiintyvyys 0,87 %.

Erillisessä listauksessa mobiilihaittaohjelman kärkipaikan otti Anubis, joka on Android-laitteisiin kohdistuva kiristyshaittaohjelman toiminnot omaava pankkitroijalainen.

Kiristyshaittaohjelmaryhmien osalta kärkipaikkaa pitää Clop, jonka haittaohjelmaa kohdistetaan eri toimialoihin maailmanlaajuisesti. Se käyttää kaksoiskiristystä, eli uhkaa vuotaa varastetut tiedot, ellei lunnaita makseta.

• tietoturva
• kiristyshaittaohjelma
• haittaohjelma
• Check Point