Check Point Research kertoo maaliskuun haittaohjelmakatsauksessaan, että maailman yleisin haitake oli yhä Emotet, jota esiintyy jo joka kymmenennessä yritysverkossa maailmanlaajuisesti. Suomen yleisimpänä kyberkiusana jatkoi kiristysohjelma Netwalker. Pohjoismaissa hyökkäysten kohteena olivat useimmin valtionhallinto ja puolustusvoimat. Check Point varoittaa myös pääsiäisteemaisista tietojenkalasteluviesteistä.
ESPOO – 12. huhtikuuta 2022 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut maaliskuun 2022 haittaohjelmakatsauksensa. Tutkijat raportoivat, että Emotet jatkaa voittokulkuaan suosituimpana haittaohjelmana ja vaikuttaa jo 10 prosenttiin organisaatioista maailmanlaajuisesti. Määrä on kaksinkertainen helmikuuhun verrattuna.
Emotet on kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Se väistelee virustutkia ja poistoyrityksiä ja pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Bottiverkkoa ovat levittäneet useat aggressiiviset sähköpostikampanjat, kuten erilaiset pääsiäisaiheiset tietojenkalasteluhuijaukset. Ympäri maailmaa lähetettyjen sähköpostien aiheena on ollut esimerkiksi ”buona pasqua, hyvää pääsiäistä”, ja sähköpostin liitteenä on ollut haitallinen XLS-tiedosto Emotetin toimittamiseksi.
Maaliskuun toiseksi yleisin haittaohjelma oli Agent Tesla, edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinpainalluksia seuraamalla pääsemään käsiksi kohdelaitteen tietoihin. Agent Teslan nousu johtuu useista uusista, haitallisia xlsx-/pdf-tiedostoja levittävistä roskapostikampanjoista, joista osa on käyttänyt houkuttimena Ukrainan sotaa.
”Teknologia on edennyt viime vuosina siihen pisteeseen, että kyberrikolliset ovat entistä enemmän ihmisten luottavaisuuden varassa yrityksen verkkoon päästääkseen. Teemoittamalla tietojenkalastelusähköpostinsa juhla-aikojen, kuten pääsiäisen, mukaan, he voivat hyödyntää kuhinaa niiden ympärillä ja houkutella uhreja lataamaan haittaohjelmia sisältäviä liitteitä. Pääsiäisviikonloppuna odotamme lisää tällaisia huijauksia ja kehotamme ihmisiä olemaan tarkkana, vaikka sähköposti näyttäisikin olevan peräisin hyvämaineiselta lähettäjältä. Pääsiäinen ei ole ainoa yleinen vapaapäivä, ja verkkorikolliset käyttävät jatkossakin samaa taktiikkaa”, toteaa VP Research Maya Horowitz Check Point Softwarelta.
”Havaitsimme myös Apache Log4j:n nousevan jälleen eniten hyödynnetyksi haavoittuvuudeksi. Kaiken loppuvuoden kohun jälkeenkin se aiheuttaa haittaa vielä kuukausia havaitsemisensa jälkeen. Organisaatioiden on ryhdyttävä välittömiin toimiin hyökkäysten estämiseksi.”
CPR:n mukaan maailmanlaajuisesti eniten hyökkäyksiä kohdistui maaliskuussa koulutus- ja tutkimusaloille, joita seurasivat valtionhallinto/puolustusvoimat ja ISP/MSP-palveluntarjoajat. Pohjoismaissa hyökkäyksiä kohdistui eniten hallintoon ja maanpuolustukseen, ja niitä seurasivat viestintä ja kuljetusala.
Suomen yleisimmät haittaohjelmat maaliskuussa 2022:
- Netwalker (tunnetaan myös nimellä Mailto) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen tietojenkalastelusähköpostien kautta. Esiintyvyys 7,36 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 3,03 %.
- Glupteba – Vuonna 2011 löydetty takaovi, joka on vähitellen kehittynyt bottiverkoksi. Esiintyvyys 2,16 %.
- Revenge RAT – Windows-troijalainen, joka hyväksyy komentoja etäkäyttöpalvelimelta ja voi mm. kerätä järjestelmätietoja, suorittaa/päivittää tiedoston linkistä tai levyltä, ladata lisäosia sekä sulkea/käynnistää uudelleen haittaohjelman. Esiintyvyys 2,16 %.
- XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat usein väärinkäyttävät tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin suorittaakseen laitonta louhintaa uhrien laitteilla. Esiintyvyys 2,16 %.
- Banload – Troijalainen, joka lataa ei-toivottuja tiedostoja etäpalvelimista uhrien koneeseen. Esiintyvyys 2,16 %.
Maailman yleisimmät haittaohjelmat maaliskuussa 2022:
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 10 %.
- Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinpainalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 2 %.
- XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat usein väärinkäyttävät tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin suorittaakseen laitonta louhintaa uhrien laitteilla. Esiintyvyys 2 %.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrin tileille ja lopulta koko laitteen hallinnan. Toisella sijalla oli XHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmantena oli Android-haittaohjelma Flubot, joka esiintyy usein logistiikkayrityksenä ja jota levitetään tietojenkalastelutekstiviestien (smishing) välityksellä. Kun käyttäjä klikkaa viestissä olevaa linkkiä, FluBot asennetaan ja hakkeri saa pääsyn puhelimen arkaluonteisiin tietoihin.
Check Pointin tutkijat listasivat myös maaliskuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Apache Log4j Remote Code Execution” (CVE-2021-44228)”, jota on yritetty hyödyntää 33 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Web Server Exposed Git Repository Information Disclosure”, ja sen esiintyvyys oli 26 %. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution” (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756), jonka esiintyvyys oli 26 %.
Täydellinen Top 10 -haittaohjelmalista sekä esimerkkejä pääsiäisteemaisista tietojenkalasteluviesteistä löytyy Check Pointin blogista: blog.checkpoint.com/2022/04/12/march-2022s-most-wanted-malware-easter-phishing-scams-help-emotet-assert-its-dominance/
Lähde: Check Point Software Technologies