Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut lokakuun 2022 haittaohjelmakatsauksensa. CPR raportoi, että lokakuussa AgentTesla -näppäilytallennin nousi maailman yleisimmäksi haittaohjelmaksi vaikuttaen seitsemään prosenttiin organisaatioista maailmanlaajuisesti.
Kyseinen haittaohjelma pystyy varastamaan tietoja sekä tarkkailemaan ja tallentamaan näppäintoimintoja, ottamaan kuvakaappauksia ja keräämään kaikessa hiljaisuudessa uhrin käyttämien ohjelmistojen salasanoja.
Toiseksi yleisin haittaohjelma on Snake KeyLogger. Myös se on näppäilytallennin ja kirjautumistietojen varastaja, joka havaittiin ensimmäisen kerran marraskuussa 2020. Haittaohjelma tallentaa uhrin näppäinpainallukset ja lähettää kerätyn datan ulkopuolisille. Ohjelman esiintyvyys maailmanlaajuisesti on viisi prosenttia.
Maailman kolmanneksi yleisin haittaohjelma on tietoja varastava Lokibot. Sen hyökkäysten määrä kasvoi merkittävästi, ja se nousi kolmen kärkeen ensimmäistä kertaa viiteen kuukauteen. Lokibot on tietovaras, joka on suunniteltu keräämään tunnistetietoja useista eri sovelluksista, kuten verkkoselaimista, sähköpostiohjelmista ja IT-hallintatyökaluista. Troijalaisena sen tavoitteena on livahtaa havaitsematta järjestelmään naamioitumalla lailliseksi ohjelmaksi. Sitä voidaan jakaa tietojenkalasteluviestien, haitallisten verkkosivustojen, tekstiviestien ja muiden viestintäalustojen kautta. Haittaohjelman suosion kasvu selittyy online-kyselyihin, tilauksiin ja maksuvahvistuksiin liittyvien roskapostikampanjoiden lisääntymisellä.
Lokakuussa havaittiin myös uusi kriittinen haavoittuvuus ”Apache Commons Text”-komponentissa, Text4Shell (CVE-2022-42889), joka mahdollistaa hyökkäykset verkon kautta ilman erityisiä oikeuksia tai käyttäjän toimia. Text4shell muistuttaa Log4Shell-haavoittuvuutta, joka on edelleen yksi suurimmista uhkista ja lokakuun toiseksi yleisin haavoittuvuus.
Tietojenkalastelu on nouseva trendi
Vaikka Text4Shell ei noussut lokakuun yleisimpien haavoittuvuuksien listalle, se on vaikuttanut jo yli kahdeksaan prosenttiin organisaatioista maailmanlaajuisesti. Check Point jatkaa sen vaikutuksen seuraamista.
– Lokakuun sijoituksissa oli paljon muutoksia, kun kolmen kärjen muodosti uusi haittaohjelmaperheiden joukko. On mielenkiintoista, että Lokibot on noussut niin nopeasti takaisin kolmannelle sijalle. Se osoittaa, että tietojenkalasteluhyökkäykset ovat nouseva trendi. Marraskuu on vilkasta ostosaikaa, joten on tärkeää pysyä valppaana ja pitää silmällä epäilyttäviä sähköposteja, jotka saattavat sisältää haitallista koodia. Tällaisia ovat esimerkiksi tuntemattomat lähettäjät, henkilökohtaisten tietojen pyynnöt ja linkit. Epäilyttävissä tapauksissa kannattaa vierailla suoraan verkkosivustoilla, etsiä oikeat yhteystiedot vahvistetuista lähteistä ja varmista, että haittaohjelmasuojaukset ovat kunnossa, sanoo Check Point Softwaren Suomen ja Baltian maajohtaja Sampo Vehkaoja tiedotteessa.
CPR kertoo myös, että ”Web Server Exposed Git Repository Information Disclosure” oli lokakuun yleisin hyödynnetty haavoittuvuus, joka vaikutti 43 prosenttiin organisaatioista maailmanlaajuisesti. Sitä seurasi tiiviisti ”Apache Log4j Remote Code Execution”, jonka vaikutus oli 41 prosenttia. Toimialoista lokakuussa hyökättiin maailmanlaajuisesti eniten koulutus-/tutkimusalaan, Pohjoismaissa viestintäalaan.
Anubis on mobiilihaittaohjelmien ykkönen
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa.
Toisella sijalla oli Hydra, pankkitroijalainen, joka pyytää uhria antamaan suostumuksensa epäilyttäville toimilleen. Kolmantena oli Joker, Google Play -sovelluksiin piiloutuva vakoiluohjelma, joka on suunniteltu nappaamaan tekstiviestejä, yhteystietoluetteloita ja laitteiden tietoja. Se pystyy myös tilaamaan uhrin nimissä maksullisia palveluja tämän tietämättä.
Check Pointin tutkijat listasivat myös lokakuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Server Exposed Git Repository Information Disclosure”, jota on yritetty hyödyntää 43 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution” (CVE-2021-44228), ja sen esiintyvyys oli 41 prosenttia. Kolmannella sijalla oli HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756), jonka esiintyvyys oli 39 prosenttia.
Suomen yleisimmät haittaohjelmat lokakuussa 2022
- Zegost – Windows-alustalle suunnattu takaovi. Haittaohjelma mahdollistaa tartunnan saaneen isäntäjärjestelmän luvattoman etäkäytön. Esiintyvyys 3,57 prosenttia.
- Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 3,57 prosenttia.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,98 prosenttia.
- dharma – Kiristyshaittaohjelma havaittiin ensimmäisen kerran vuonna 2016, ja sen tyypillisiä kohteita ovat olleet yhdysvaltalaiset terveydenhuoltoalan instituutiot. Salausavain julkistettiin vuonna 2017. Esiintyvyys 2,38 prosenttia.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2,38 prosenttia.
- GhOst – Backdoor.Win32.Ghost on Windows-alustaan kohdistuva takaovi. Haittaohjelma on suunniteltu antamaan vilpilliselle käyttäjälle tartunnan saaneen tietokoneen etähallinta. Esiintyvyys 1,79 prosenttia.
- XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 1,79 prosenttia.
- AZORult – Troijalainen, joka kerää tietoja tartunnan saaneesta järjestelmästä. Se voi lähettää esimerkiksi tallennettuja salasanoja, tiedostoja ja kryptolompakon tietoja etäpalvelimelle. Esiintyvyys 1,79 prosenttia.
- Lokibot – Tietovaras, josta on versiot sekä Windows- että Android-käyttöjärjestelmille. Esiintyvyys 1,19 prosenttia.
- Icedid, Valyria, Chapak, Amadey – Kaikkien esiintyvyys 1,19 prosenttia.
