AsyncRAT-haittaohjelmasta kehittymässä merkittävä kyberuhka muiden haittaohjemien jakelussa - Suomessa toiseksi yleisin

Kyberturvallisuusratkaisujen tarjoaja Check Point Software julkisti helmikuun 2025 haittaohjelmakatsauksensa.

Raportissa nostetaan tällä kertaa esille AsyncRAT -haittaohjelma. Tietoturvatutkijoiden mukaan AsyncRATista on nopeasti kehittymässä merkittävä kyberuhka.

AsyncRATia hyödynnetään yhä monimutkaisemmissa hyökkäyksissä, joissa käytetään laillisia alustoja, kuten Cloudflarea ja Dropboxia, haittaohjelmien levittämiseen. Hyökkäykset alkavat tyypillisesti tietojenkalasteluviesteillä, jotka sisältävät Dropbox-linkkejä. Näiden kautta käynnistyy monivaiheinen haittaohjelmatartunta, jossa hyödynnetään LNK-, JavaScript- ja BAT-tiedostoja.

Check Pointin mukaan AsyncRAT on osa kasvavaa trendiä, jossa rikolliset kiertävät tietoturvamekanismeja luotettujen palvelujen avulla ja varmistavat näin haittaohjelmien pysyvyyden kohdeverkostoissa.

"Kyberrikolliset hyödyntävät laillisia alustoja haittaohjelmien levittämiseen ja havaitsemisen välttämiseen. Organisaatioiden on pysyttävä valppaina ja otettava käyttöön ennakoivia tietoturvatoimia tällaisten kehittyvien uhkien torjumiseksi", sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomessa AsyncRAT oli helmikuussa toiseksi yleisin haittaohjelma, kun ykkösenä on FakeUpdates, joka on pitänyt tätä paikkaa useimpina kuukausina hallussaan.

Suomen yleisimmät haittaohjelmat helmikuussa 2025

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 3,1 %.
2. AsyncRat – Windows-järjestelmiin kohdistuva etähallintatroijalainen (RAT), joka havaittiin ensimmäisen kerran vuonna 2019. Se lähettää järjestelmätietoja komentokeskuspalvelimelle ja suorittaa komentoja, kuten liitännäisten lataamisen, prosessien lopettamisen, näyttökuvien ottamisen ja itsensä päivittämisen. Haittaohjelmaa levitetään tyypillisesti tietojenkalastelun avulla, ja sitä käytetään tietovarkauksiin ja järjestelmien vaarantamiseen. Esiintyvyys 1,21 %.
3. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilien tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 1,21 %.
4. Formbook – Tietovaras, joka kohdistuu Windows-käyttöjärjestelmään ja havaittiin ensimmäisen kerran vuonna 2016. Haittaohjelmaa markkinoidaan palveluna (Malware as a Service, MaaS) pimeän verkon hakkerifoorumeilla sen kehittyneiden väistötaktiikoiden ja suhteellisen edullisen hinnan vuoksi. FormBook varastaa kirjautumistietoja eri verkkoselaimista, ottaa kuvakaappauksia, seuraa ja kirjaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja etähallinta- ja komentopalvelimelta saamiensa ohjeiden mukaisesti. Esiintyvyys 0,81 %.
5. Shiz, STRRat, Quimitchin, Konni, Kazy, Havoc Demon. – Kaikkien haittaohjelmien esiintyvyys 0,40 %.

Check Pointin mukaan helmikuussa mobiilihaittaohjelmien osalta kärjessä on pankkitroijalainen Anubis, joka kohdistuu Android-laitteisiin.

Kiristysryhmien listassa kärkipaikkaa pitää Clop. Clop on vuodesta 2019 aktiivinen kiristyshaittaohjelmaversio, joka kohdistuu eri toimialoihin maailmanlaajuisesti. Se käyttää kaksoiskiristystä, eli uhkaa vuotaa varastetut tiedot, ellei lunnaita makseta. Clop vastasi 35 prosentista julkaistuista hyökkäyksistä.

• haittaohjelma
• Check Point