Troijalaiset kiristyshyökkäysten kärjessä – tähtäimessä terveydenhuolto

Tietoturvayhtiö Check Pointin tutkijat kertovat, että Trickbot- ja Emotet troijalaisia käytetään nyt kiristyshaittaohjelmien levittämiseen sairaaloihin ja muihin terveydenhuollon toimijoihin. 

ESPOO – 12. marraskuuta 2020 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut lokakuun haittaohjelmakatsauksensa. Tutkijat ovat havainneet, että sairaaloihin ja terveydenhuollon toimijoihin kohdistuvien kiristyshaittaohjelmien voimakkaan yleistymisen takana ovat kaksi maailman käytetyintä haittaohjelmaa, Trickbot- ja Emotet-troijalaiset.

FBI ja muut Yhdysvaltain valtiolliset virastot varoittivat äskettäin terveydenhuoltosektoriin kohdistuvista kiristyshyökkäyksistä. Maailmanlaajuisesti arviolta yli miljoonaa Trickbot-tartuntaa käytetään tiedostoja salaavien kiristysohjelmien, kuten Ryukin, lataamiseen ja levittämiseen. Ryukia jaetaan myös Emotet-troijalaisen kautta, joka on maailman yleisin haittaohjelma jo neljättä kuukautta peräkkäin.

Check Pointin mukaan lokakuussa Yhdysvalloissa kiristyshyökkäykset kohdistuivat eniten terveydenhuoltoalaan, ja ne lisääntyivät 71 % syyskuuhun 2020 verrattuna. EMEA-alueella kiristyshyökkäykset terveydenhuollon organisaatioihin ja sairaaloihin kasvoivat lokakuussa 36 % ja APAC-alueella 33 %.

"Kiristyshyökkäykset ovat lisääntyneet koronaviruspandemian alusta lähtien, ja ne yrittävät hyödyntää etätyön yleistymisen myötä syntyneitä tietoturva-aukkoja. Etenkin terveydenhuoltoalaan kohdistuvat hyökkäykset ovat lisääntyneet huolestuttavasti viimeisten kolmen kuukauden aikana, ja niiden takana ovat usein TrickBot- ja Emotet-tartunnat. Kehotamme kaikkia terveydenhuollon organisaatioita olemaan erityisen valppaina tämän riskin suhteen ja ehkäisemään näitä tartuntoja ennen kuin ne voivat aiheuttaa todellisia vahinkoja portteina kiristyshyökkäyksiin", ohjeistaa Check Pointin Suomen ja Baltian maajohtaja Sampo Vehkaoja.

”Kybertuvallisuus on yritysjohdolle strateginen asia. Johdon velvollisuus on varmistaa, että yrityksen tai yhteisön tietoturvaan liittyvät asiat ovat kunnossa, jotta Vastaamon kaltaisia valitettavia kiristyksiä ei tapahdu jatkossa. Johtavana tietoturvayrityksenä näemme, että monilla kotimaisilla yrityksillä on aukkoja tietoturvassa, siksi on äärimmäisen tärkeää päivittää tietoturva ajan tasalle. Check Point on mielellään tässä auttamassa”, Vehkaoja jatkaa.

Suomessa Trickbot oli lokakuun kolmanneksi yleisin haittaohjelma, ja sitä esiintyi yli viidessä prosentissa yritysverkoista. Suomen listakärjessä oli Android-haittaohjelma Hiddad, esiintyvyys yli 10 prosenttia.

Suomen yleisimmät haittaohjelmat lokakuussa 2020:

1. Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys Suomessa 10,28 %.
2. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 5,93 %.
3. TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 5,53 %.
4. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 4,74 %.
5. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 4,74 %.
6. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,16 %.
7. Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,98 %.
8. Mofksys – Esiintyvyys 1,58 %.
9. FalloutEk –Esiintyvyys 1,58 %.
10. Maze – Ensimmäisen kerran vuonna 2019 havaittu kiristysohjelma, joka käyttää kaksoiskiristys-strategiaa. Kiristäjät avasivat erillisen verkkosivun, jossa he uhrien tietojen salaamisen lisäksi alkoivat julkaista uhreilta varastettuja arkaluonteisia tietoja, jos nämä kieltäytyivät maksamasta lunnaita. Esiintyvyys 1,19 %.
11. Resur ja RigEK. Molempien esiintyvyys 1,19 %.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet lokakuussa 2020:

1. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 12 %.
2. Trickbot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 4 %.
3. Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys 4 %.

Mobiilihaittaohjelmien globaalilla listalla ykkösenä oli lokakuussa Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia. Toiseksi yleisin oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli hakkerointityökalu Lotoor, joka hyödyntää Android-käyttöjärjestelmän haavoittuvuuksia juurioikeuksien saamiseksi vaarantuneista mobiililaitteista.

Check Pointin tutkijat listasivat myös lokakuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään MVPower DVR Remote Code Executionon yritetty hyödyntää 43 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli Dasan GPON Router Authentication Bypass (CVE-2018-10561), jonka esiintyvyys oli 42 %. Kolmanneksi kohosi HTTP Headers Remote Code Execution (CVE-2020-13756), esiintyvyys 42 %.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin^TM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 2,5 miljardia verkkosivustoa ja 500 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.

Lisätiedot:

Sampo Vehkaoja, Country Manager, Finland and Baltics, Check Point Software Technologies, sampov@checkpoint.com, p. 050 555 5500
Haastattelupyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Point Researchia:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch