Yleisimmät haittaohjelmat Suomessa ja maailmalla – Brändihuijaukset lisääntyivät, listaykkösenä pankkitroijalainen

Check Point Research kertoo tammikuun haittaohjelmakatsauksessaan, että Vidar palasi maailman kymmenen yleisimmän haittaohjelman joukkoon yltäen Suomessakin sijalle kuusi. Suomen ja koko maailman yritysverkkojen ykkönen oli tuttu haittaohjelma Qbot.

Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut tammikuun 2023 haittaohjelmakatsauksensa. CPR kertoo, että haittaohjelma Vidar palasi tammikuussa maailman yleisimpien haittaohjelmien listalle, kun brändihuijaukset yleistyivät ja Lähi-idässä ja Pohjois-Afrikassa käynnistyi laaja njRAT-tietojenkalastelukampanja.

Vidar levisi väärennettyjen verkkotunnusten myötä. Haittaohjelma ohjasi useiden suosittujen sovellusten käyttäjiä AnyDesk-yhtiön viralliseksi sivustoksi naamioituneeseen IP-osoitteeseen. Kun käyttäjä oli ladannut oikealta asennusohjelmalta vaikuttavan haittaohjelman, se varasti uhrinsa arkaluonteisia tietoja, kuten kirjautumistunnuksia, salasanoja, kryptovaluuttalompakon tietoja ja pankkitietoja.

Tutkijat havaitsivat myös laajan Earth Bogle -kampanjan, joka levitti njRAT-troijalaista kohteisiin Lähi-idässä ja Pohjois-Afrikassa. Hyökkääjät houkuttelivat uhrejaan geopoliittisia teemoja sisältävillä tietojenkalastelusähköposteilla. Niiden pyrkimyksenä oli saada heidät avaamaan haitallisia liitteitä, minkä jälkeen haittaohjelma pystyi varastamaan arkaluonteista tietoa tartunnan saaneilta laitteilta.

”Jälleen kerran saimme huomata, että haittaohjelmia levittävät tahot hyödyntävät luotettuja brändejä tarkoituksenaan varastaa henkilökohtaisia tunnistetietoja. On erittäin tärkeää kiinnittää huomiota klikkaamiinsa linkkeihin ja varmistaa niiden aitous. Tarkista, että selaimen osoiterivissä on riippulukkokuvake, joka osoittaa ajantasaisen SSL-sertifikaatin, ja tarkkaile pieniä kirjoitusvirheitä, jotka voivat viitata siihen, että sivusto on haitallinen”, sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Toimialoista tammikuussa hyökättiin Euroopan- ja maailmanlaajuisesti eniten koulutus-/tutkimusalaan, Pohjoismaissa kuljetusalaan.

Suomen yleisimmät haittaohjelmat tammikuussa 2023:

1. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3,33 %.
2. XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 2,78 %.
3. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,22 %.
4. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 2,2 %.
5. GhOst – Backdoor.Win32.Ghost on Windows-alustaan kohdistuva takaportti. Haittaohjelma on suunniteltu antamaan hyökkääjälle tartunnan saaneen tietokoneen etähallinta. Esiintyvyys 1,67 %.
6. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,67 %.
7. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin.
   Esiintyvyys 1,11 %.
8. Nanocore – NanoCore on Windows-käyttöjärjestelmän käyttäjille suunnattu etäkäyttötroijalainen, joka havaittiin ensimmäisen kerran vuonna 2013. Se kykenee esimerkiksi näytön kaappauksiin, kryptovaluutan louhintaan ja verkkokameraistuntojen varkauksiin. Esiintyvyys 1,11 %.
9. Danabot – Modulaarinen pankkitroijalainen, joka on suunnattu Windows-alustalle. Haittaohjelma havaittiin ensimmäisen kerran vuonna 2018 ja se leviää roskapostien kautta. Esiintyvyys 1,11 %.
10. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 1,11 %.
    
    

Maailman yleisimmät haittaohjelmat tammikuussa 2023:

1. Qbot (AKA Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 6 %.
2. Lokibot – Tietovaras, josta on versiot sekä Windows- että Android-käyttöjärjestelmille. Esiintyvyys 6 %.
3. Agent Tesla – Kehittynyt RAT, joka pystyy varastamaan tietoja sekä tarkkailemaan ja tallentamaan näppäintoimintoja, ottamaan kuvakaappauksia ja keräämään kaikessa hiljaisuudessa uhrin käyttämien ohjelmistojen salasanoja. Esiintyvyys 5 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia. Kolmantena oli etäkäyttötroijalainen (RAT) AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa.

Check Pointin tutkijat listasivat myös tammikuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Server Exposed Git Repository Information Disclosure”, jota on yritetty hyödyntää 46 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756), ja sen esiintyvyys oli 42 prosenttia. Kolmannella sijalla oli ”MVPower DVR Remote Code Execution”, jonka esiintyvyys oli 39 prosenttia.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: January 2023’s Most Wanted Malware: Infostealer Vidar Makes a Return While Earth Bogle njRAT Malware Campaign Strikes

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, viivit@checkpoint.com, p. 0400 411 530.
Haastattelupyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Point Researchia:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch