Yleisimmät haittaohjelmat: IcedID-pankkitroijalainen nousi kärkikymmenikköön korona-aiheisen kampanjan jälkeen

Tietoturvayhtiö Check Pointin tutkijat kertovat, että koronapandemialla ratsastanut IcedID on noussut maailman yleisimpien haittaohjelmien listalle ensimmäistä kertaa, sijalle kaksi. Maailman yleisin haittaohjelma oli Dridex-troijalainen. Suomen listakärjessä olivat Growtopia ja Trickbot.

ESPOO – 13. huhtikuuta 2021 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut maaliskuun haittaohjelmakatsauksensa.

Tutkijat kertovat, että maailman yleisin haittaohjelma maaliskuussa oli helmikuun seitsemänneltä sijalta noussut Dridex-troijalainen. Toiseksi sijoittunut IcedID-pankkitroijalainen oli yleisimpien haittaohjelmien joukossa ensimmäistä kertaa.

Vuonna 2017 ensimmäisen kerran havaittu IcedID levisi maaliskuussa nopeasti useiden roskapostikampanjoiden kautta. Se vaikutti 11 prosenttiin yritysverkoista maailmanlaajuisesti. Yksi laajalle levinnyt koronavirusaiheinen kampanja houkutteli uhrejaan avaamaan haitallisia sähköpostiliitteitä, suurimmaksi osaksi Microsoft Word -asiakirjoja. Ne sisälsivät haitallisen makron, jota käytettiin asentamaan IcedID-ohjelma. Asennuksen jälkeen troijalainen yritti varastaa tili- ja maksutietoja sekä muita henkilökohtaisia tietoja käyttäjien tietokoneilta. IcedID leviää myös muiden haittaohjelmien avulla, ja sitä on käytetty kiristysohjelmien tartuttamisessa.

”IcedID on ollut maisemissa jo muutaman vuoden ajan, mutta viime aikoina sitä on käytetty laajasti. Se osoittaa, että verkkorikolliset jatkavat tekniikoidensa mukauttamista ja pyrkivät hyväksikäyttämään organisaatioita koronapandemian varjolla”, sanoo Check Pointin Maya Horowitz, Director, Threat Intelligence & Research, Products.

”IcedID on vaikeasti havaittava troijalainen, joka käyttää monenlaisia tekniikoita taloustietoja varastaakseen. Organisaatioiden on varmistettava, että niillä on vankat turvajärjestelmät verkkojen vaarantumisen estämiseksi ja riskien minimoimiseksi. On ensisijaisen tärkeää kouluttaa työntekijät tunnistamaan IcedID:tä ja muita haittaohjelmia levittäviä haitallisia sähköpostityyppejä”, hän jatkaa.

Suomen yleisin haittaohjelma maaliskuussa oli Growtopia, jota esiintyi lähes kuudessa prosentissa maan yritysverkoista, maailmanlaajuisen esiintyvyyden ollessa 0,25. Toisella sijalla oli Trickbot. IcedID ei yltänyt Suomen yleisimpien haittaohjelmien listalle.

Suomen yleisimmät haittaohjelmat maaliskuussa 2021:

1. Growtopia – Esiintyvyys 5,95 %.
2. TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 2,38 %.
3. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 1,98 %.
4. Arkei – Troijalainen, joka varastaa luottamuksellisia tietoja, kuten kirjautumistunnuksia. Esiintyvyys 1,19 %.
5. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,19 %.
6. Sodinokibi – Ensimmäistä kertaa vuonna 2019 havaittu, palveluna myyty kiristyshaittaohjelma (ransomware-as-a-service). Esiintyvyys 0,79 %.
7. Zloader – Haittaohjelma, joka varastaa pankkitunnusten lisäksi uhrin verkkoselaimiin tallennettuja salasanoja ja evästeitä. Esiintyvyys 0,79 %.
8. Razy – Windows-alustaan kohdistuva troijalainen. Kiristysohjelma salaa tiedostot ja asentaa haittaohjelman selainlaajennuksen, joka manipuloi verkkoselainta. Esiintyvyys 0,79 %.
9. Ryuk – Kiristyshaittaohjelma, jota on käytetty kohdennettuihin ja hyvin suunniteltuihin hyökkäyksiin organisaatioihin ympäri maailmaa. Se salaa tietokoneisiin, palvelimiin ja datakeskuksiin tallennettuja tiedostoja ja pyytää tietojen vapauttamisesta isoja, jopa 320 000 dollarin lunnaita bitcoineissa. Esiintyvyys 0,79 %.
10. Glupteba – Vuodesta 2011 tunnettu takaovi, joka kypsyi vähitellen botnetiksi. Esiintyvyys 0,40 %.
    Lisäksi esiintyvyydeltään 0,40 % olivat haittaohjelmat Gazaer, Locky, FurBall, Ramnit, Floxif, Cryptowall, Chindo, AutoCAD, Gandcrab, Neshta, Pavelo, Pykspa, Remcos, Scrinject, Shiz, Startun, Swrort, Tepfer, TryHackMe, Turla, Wannamine ja Phorpiex.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet maaliskuussa 2021:

1. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 16 %.
2. IcedID – Taloustietoja varastava pankkitroijalainen, jota levitetään sähköpostin roskapostikampanjoiden välityksellä. Esiintyvyys 11 %.
3. Lokibot – Info Stealer, jota levitetään pääasiassa tietojenkalastelusähköpostien avulla. Varastaa muun muassa sähköpostitietoja ja kryptovaluuttalompakoiden ja FTP-palvelimien salasanoja. Esiintyvyys 9 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli maaliskuussa Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia. Toiseksi yleisin oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli mobiililaitteiden etäyhteyden mahdollistava MRAT-troijalainen (Mobile Remote Access Trojan) FurBall, jonka iranilainen valtiollisten hakkereiden APT-ryhmä on ottanut käyttöön. FurBallin ominaisuuksiin kuuluu tekstiviestien varastaminen, puhelulokit, puheluiden tallennus, mediatiedostojen keruu, sijainnin seuranta ja paljon muuta.

Check Pointin tutkijat listasivat myös maaliskuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään ”HTTP Headers Remote Code Execution (CVE-2020-13756)” on yritetty hyödyntää 45 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli “MVPower DVR Remote Code Execution”, jonka esiintyvyys oli 44 %. Kolmannella sijalla oli ”Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, sekin esiintyvyydeltään 44 %.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin^TM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.

Lisätiedot:

Sampo Vehkaoja, Country Manager, Finland and Baltics, Check Point Software Technologies, sampov@checkpoint.com, p. 050 555 5500.
Haastattelupyynnöt:
Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Point Researchia:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch