Check Pointin tutkijat kertovat, että yrityksille tekivät viime kuussa kiusaa erityisesti Greta Thunberg -aiheiset ja joulujuhliin kutsuvat roskapostit, jotka levittivät Emotet-haittaohjelmaa. Myös tiettyä haavoittuvuutta hyödynnettiin ahkerasti.
ESPOO – 13. tammikuuta 2020 – Maailman johtavan tietoturvayhtiön Check Pointin tutkimustoiminnasta vastaava Check Point Research kertoo haittaohjelmakatsauksessaan, että Emotet oli joulukuun johtava haittaohjelma kolmatta kuukautta peräkkäin. Sitä levitettiin roskaposteilla, jotka oli otsikoitu esimerkiksi ”Support Greta Thunberg - Time Person of the Year 2019” ja ”Christmas Party!”.
Viestit sisälsivät haitallisen Microsoft Word -dokumentin, joka yritti ladata uhrin tietokoneelle Emotet-haittaohjelman. Emotet-sovellusta käytetään ensisijaisesti kiristys- ja muiden haittaohjelmien levittäjänä.
Myös yritykset hyödyntää tiettyä haavoittuvuutta (Command Injection Over HTTP) lisääntyivät merkittävästi – niitä kohdistui jo joka kolmanteen organisaatioon maailmanlaajuisesti. Hyökkääjien tavoitteena oli todennäköisesti bottiverkon kerääminen palvelunestohyökkäystä varten.
”Useimpiin organisaatioihin kolmen viime kuukauden aikana kohdistuneet uhat ovat olleet monipuolisia ja -käyttöisiä haittaohjelmia, kuten Emotet ja xHelper. Ne antavat kyberrikollisille useita ansaintavaihtoehtoja, koska niitä voidaan käyttää sekä kiristyshaittaohjelmien että roskapostikampanjoiden levittämiseen”, sanoo Check Pointin tutkijaryhmää vetävä Maya Horowitz.
"Rikollisten tavoitteena on saada jalansija mahdollisimman monissa organisaatioissa ja laitteissa, jotta myöhemmät hyökkäykset olisivat tuottoisampia ja vahingollisempia. On erittäin tärkeää, että yritykset varoittavat henkilöstöään riskeistä, jotka liittyvät tuntemattomilta lähettäjiltä tulleiden sähköpostien liitteiden ja linkkien avaamiseen”, hän jatkaa.
Suomessa yleisimpien haittaohjelmien listalle Emotet ei joulukuussa kirinyt, ja XHelper oli listalla sijalla 14. Kärkisijaa piti yhä Monero-kryptovaluutan louhija XMRig.
Suomen yleisimmät haittaohjelmat joulukuussa 2019:
1. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 7,94 %.
2. RigEK. Esiintyvyys 6,07 %.
3. TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 6,07 %.
4. Loyeetro – Tämä uhka yrittää varastaa arkaluontoisia ja luottamuksellisia tietoja. Esiintyvyys 1,87 %.
5. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,87 %.
6. Ramnit – Mato, joka leviää pääasiassa ulkoisten kovalevyjen ja avoimien FTP-palvelinten kautta. Mato luo itsestään kopion ja tartuttaa laitteen ulkoiset ja sisäiset muistit. Esiintyvyys 1,40 %.
7. NJRat – Etäyhteystroijalainen, suunnattu lähinnä Lähi-idän valtion virastoihin ja järjestöihin. Ensimmäistä kertaa vuonna 2012 tavattu troijalainen tallentaa uhrin näppäinpainalluksia, käyttää kameraa, varastaa selaimiin tallennettuja tietoja, lataa ja lähettää tiedostoja jne. Esiintyvyys 1,40 %.
8. LoudMiner – Kryptolouhija. Esiintyvyys 0,93 %.
9. Valerie. Esiintyvyys 0,93 %.
10. VBKryjetor. Esiintyvyys 0,93 %.
Maailman yleisimmät haittaohjelmat joulukuussa 2019:
1. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta (esiintyvyys 13 %).
2. XMRig – Avoimen lähdekoodin louhintaohjelma, jota käytetään Moneron louhintaan (esiintyvyys 7 %).
3. TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma (esiintyvyys 7 %).
Mobiilihaittaohjelmien globaalilla listalla kärkisijaa piti yhä xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Toisena oli muita haittaohjelmia Android-puhelimille lataava Guerrilla. Kolmanneksi yleisin oli Android-haittaohjelma Hiddad, joka pakkaa sovelluksia uudelleen ja laittaa ne tarjolle kolmannen osapuolen sovelluskauppaan.
Check Pointin tutkijat listasivat myös joulukuun käytetyimmät haavoittuvuudet. Luettelon kärjessä oli Command Injection Over HTTP, jossa hyökkääjä voi hyödyntää HTTP-haavoittuvuuden kautta tapahtuvaa komentoa lähettämällä uhrille yksilöllisesti muotoillun pyynnön. Onnistunut hyväksikäyttö antaisi hyökkääjälle mahdollisuuden suorittaa valitsemansa koodin kohdekoneella (esiintyvyys 33 %). Toiseksi yleisin oli MVPower DVR Remote Code Execution – Hyökkääjä voi hyödyntää tätä heikkoutta suorittaakseen valitsemansa koodin kohteena olevalla reitittimellä (esiintyvyys 32 %). Kolmantena oli Web Server Exposed Git Repository Information Disclosure. Haavoittuvuuden onnistunut hyödyntäminen voisi mahdollistaa tilitietojen paljastumisen (esiintyvyys 29 %).
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.
Lisätiedot ja haastattelupyynnöt:
Rami Rauanmaa, Head of Security Engineering, Finland and Baltics, Check Point Software Technologies, ramira@checkpoint.com.
Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.
Seuraa Check Point Researchia:
Blogi: blog.checkpoint.com/
Twitter: twitter.com/_cpresearch_
Check Point Research
Check Point Research (research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) on johtava yritysten ja valtionhallinnon kyberturvallisuusratkaisujen tarjoaja globaalisti. Sen ratkaisut suojaavat 5. sukupolven kyberhyökkäyksiltä alan johtavalla haittaohjelmien, kiristysohjelmien ja muiden hyökkäysten kiinnijäämisprosentilla. Check Pointin monitasoinen tietoturva-arkkitehtuuri, ”Infinity” Total Protection sisältää 5. sukupolven (Gen V) edistyneen uhkientorjunnan, joka suojaa yrityksen pilvi-, verkko- ja mobiililaitteissa sijaitsevan tiedon. Check Point tarjoaa myös alan kattavimman ja intuitiivisimman yhden kontrollipisteen ohjausjärjestelmän. Check Point huolehtii yli 100 000 ison ja pienen yrityksen ja yhteisön tietoturvasta.