Tietoturvayhtiön Check Point Software Technologies kertoo haittaohjelmakatsauksessaan, että Emotet-bottiverkko on palannut takaisin maailman yleisimmäksi haittaohjelmaksi viiden kuukauden poissaolon jälkeen. Sitä esiintyy viidessä prosentissa yritysverkoista maailmanlaajuisesti.
Helmikuussa Emotetin toiminta hidastui ja lopulta taukosi, kunnes alkoi uudelleen heinäkuussa. Emotet on käynyt tauolla ennenkin, sillä vuonna 2019 se lopetti toimintansa kesäkuukausiksi, mutta jatkoi syyskuussa.
Emotet levitti heinäkuussa roskapostikampanjoita tartuttaen uhrinsa TrickBotilla ja Qbotilla, joita käytetään muun muassa pankkitietojen varastamiseen. Jotkut sähköpostikampanjat ovat sisältäneet haitallisia tiedostoja nimeltään ”form.doc” tai “billice.doc”.
– Voimme olettaa, että bottiverkon takana olevat kehittäjät ovat tauon aikana päivittäneet sen ominaisuuksia. Mutta koska se on jälleen aktiivinen, organisaatioiden tulisi ohjeistaa työntekijöitään tunnistamaan tällaiset uhat ja varoittaa sähköpostiviestien liitteiden tai linkkien avaamisen riskeistä. Yritysten tulisi myös harkita sellaisten haittaohjelmien torjuntaratkaisujen käyttöönottoa, jotka voivat estää tällaisen sisällön päätymisen loppukäyttäjille”, sanoo Check Pointin Director Maya Horowitz.
Tutkimusryhmä kertoo myös, että yleisintä haavoittuvuutta – MVPower DVR Remote Code Executionia – on yritetty hyödyntää maailmanlaajuisesti 44 prosentissa yritysverkoista.
Seuraavaksi yleisin, OpenSSL TLS DTLS Heartbeat Information Disclosure, vaikuttaa 42 prosenttiin organisaatioista. Kolmannella sijalla on Command Injection Over HTTP Payload, jonka esiintyvyys on 38 prosenttia.
Suomessa Emotet ei yltänyt heinäkuun kymmenen yleisimmän haittaohjelman listalle. Kärkisijoilla olivat Dridex ja AgentTesla, joita esiintyi lähes kuudessa prosentissa yritysverkoista.
Suomen yleisimmät haittaohjelmat heinäkuussa:
1. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 5,81 %.
2. AgentTesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 5,81 %.
3. TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 3,32 %.
4. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 5,81 %.
5. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,32 %.
6. Mirai – Tunnettu haavoittuvien IoT-laitteiden tartuttamisesta ja massiivisista DDoS-hyökkäyksistä. Esiintyvyys 0,83 %.
7. RigEK – Haittaohjelmien lataaja Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksissa. Esiintyvyys 1,24 %.
8. Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,24 %.
9. Urfnif – Sähköposti- ja pankkitunnuksia varastava pankkitroijalainen, jonka kohteena ovat Windows-tietokoneet. Leviää haitallisten roskapostikampanjoiden Word- ja Excel-liitteiden kautta. Esiintyvyys 0,83 %.
10. Smforw. Esiintyvyys 1,66 %.
Mobiilihaittaohjelmien globaalilla listalla ykkösenä oli heinäkuussa xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen.
Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen.
Toiseksi yleisin oli Android-haittaohjelma Necro, joka voi ladata muita haittaohjelmia, näyttää häiritseviä mainoksia ja varastaa rahaa. Kolmannella sijalla oli Android-haittaohjelma PreAmo, joka jäljittelee käyttäjää klikkaamalla bannereita.