Tietoturvayhtiö Check Pointin tutkijat kertovat, että maailman yleisin ja Suomen toiseksi yleisin haittaohjelma oli marraskuussa Phoerpiex-bottiverkko, joka levittää Avaddon-kiristyshaittaohjelmaa.
ESPOO – 11. joulukuuta 2020 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut marraskuun haittaohjelmakatsauksensa. Tutkijat ovat havainneet, että yksi maailman tunnetuimmista ja pitkäikäisimmistä haittaohjelmista, Phoerpiex-bottiverkko, on nyt myös maailman yleisin. Sitä esiintyi marraskuussa yli kahdeksassa prosentissa Suomen yritysverkoista, luvun ollessa maailmanlaajuisesti neljä prosenttia. Viimeksi Phoerpiex nähtiin maailman haittaohjelmien kymmenen kärjessä kesäkuussa.
Ensimmäisen kerran Phoerpiex havaittiin vuonna 2010. Se tunnetaan parhaiten levittämistään pornokiristysviesteistä, joita moni suomalainenkin on saanut sähköpostiinsa. Niissä väitettiin, että vastaanottaja on katsonut laitteellaan pornoa, ja uhri uhattiin paljastaa tuttavilleen. Bottiverkko on kuitenkin tehnyt myös monenlaista muuta kiusaa kryptovaluutan louhinnasta kiristysohjelmien levitykseen roskapostiviestien välityksellä. Check Point on laskenut, että parhaimmillaan Phorpiex-tartunnan saaneita tietokoneita oli maailmassa yli miljoona.
Nyt Phoerpiex levittää jälleen Avaddon-kiristyshaittaohjelmaa, kuten Check Point raportoi myös aiemmin tänä vuonna. Sitä myydään kyberrikollispiireissä avaimet käteen -palveluna (RaaS, Ransomware as a Service). Ohjelma salaa tietokoneen sisällön ja pyytää lunnaita palkkioksi sisällön avaamisesta. Avaddonia on levitetty JS- ja Excel-tiedostojen kautta osana roskapostikampanjoita, ja se pystyy salaamaan monenlaisia tiedostotyyppejä.
”Phorpiex on yksi vanhimmista ja itsepintaisimmista botnet-verkoista, ja sitä on käytetty useiden vuosien ajan muiden haittaohjelmien, kuten GandCrab- ja Avaddon-kiristysohjelmien levittämiseen ja pornokiristyshuijauksiin. Uusi tartunta-aalto osoittaa, kuinka tehokas työkalu Phorpiex on”, kertoo Check Pointin Suomen maajohtaja Sampo Vehkaoja.
”Yritysten ja organisaatioiden tulisi opastaa henkilöstöään tunnistamaan yleisimmät haittaohjelmia sisältävät roskapostilajit ja olemaan varovaisia tuntemattomien liitteiden avaamisesta sähköposteissa, vaikka ne näyttäisivät olevan luotetusta lähteestä. Tärkeää on myös suojata tietoverkko tartunnoilta ajan tasalla olevalla, monikerroksisella tietoturvaratkaisulla.”
Suomessa Phorpiex oli marraskuun toiseksi yleisin haittaohjelma, ja sitä esiintyi noin 8,5 prosentissa yritysverkoista. Suomen listakärjessä oli Android-haittaohjelma Hiddad, esiintyvyys noin 11,5 prosenttia.
Suomen yleisimmät haittaohjelmat marraskuussa 2020:
- Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys Suomessa 11,49 %.
- Phorpiex – (a.k.a Trik) Bottiverkko, joka levittää muita haittaohjelmia roskapostikampanjoiden avulla. Tunnettu pornokiristysviestien lähettäjänä. Esiintyvyys 8,51 %.
- XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,83 %.
- RigEK – Haittaohjelmien lataaja Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksissa. Esiintyvyys 2,55 %.
- Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2,55 %.
- TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 2,13 %.
- Floxif – Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Tunnettu laajasta kampanjasta vuonna 2017, jolloin Floxif oli mukana CCleaner-sovelluksessa ja tartutti yli 2 miljoonaa käyttäjää, mm. teknologiajätit Google, Microsoft , Cisco ja Intel. Esiintyvyys 1,70 %.
- Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,70 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 1,70 %.
- Vidar, Sodinokibi, Bonzo, Facexworm, Shiz, FalloutEK – Kaikkien esiintyvyys 1,28 %.
Maailman yleisimmät haittaohjelmat ja haavoittuvuudet marraskuussa 2020:
- Phorpiex – Bottiverkko, joka levittää muita haittaohjelmia roskapostikampanjoiden avulla. Tunnettu pornokiristysviestien lähettäjänä. Esiintyvyys 4 % maailmanlaajuisesti.
- Dridex – Windows-laitteiden troijalainen, jota levitetään pääasiassa sähköpostiviestien avulla. Haittaohjelma ottaa yhteyttä komentokeskukseen ja antaa tietoja kohdelaitteiston ominaisuuksista. Esiintyvyys 3 %.
- Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys 3 %.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli marraskuussa Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia. Toiseksi yleisin oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli hakkerointityökalu Lotoor, joka hyödyntää Android-käyttöjärjestelmän haavoittuvuuksia juurioikeuksien saamiseksi vaarantuneista mobiililaitteista.
Check Pointin tutkijat listasivat myös marraskuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään HTTP Headers Remote Code Execution (CVE-2020-13756) on yritetty hyödyntää 54 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli MVPower DVR Remote Code Execution, jonka esiintyvyys oli 48 %. Kolmannella sijalla oli Dasan GPON Router Authentication Bypass (CVE-2018-10561), esiintyvyys 44 %.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 2,5 miljardia verkkosivustoa ja 500 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.
Lisätiedot:
Sampo Vehkaoja, Country Manager, Finland and Baltics, Check Point Software Technologies, sampov@checkpoint.com, p. 050 555 5500.
Haastattelupyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_