Heinäkuun yleisimmät haittaohjelmat: Remcos ja RansomHub rehottavat

Check Point Softwaren tietoturvatutkijat ovat havainneet, että Windowsiin kohdistetussa Remcos-haittaohjelmakampanjassa hyödynnetään äskettäistä tietoturvaohjelmistopäivitystä. RansomHub on edelleen yleisin kiristyshaittaohjelmaryhmä.

ESPOO – 14. elokuuta 2024 – Maailman johtava tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut heinäkuun 2024 haittaohjelmakatsauksensa.

Huolimatta kesäkuun notkahduksestaan, LockBit nousi heinäkuussa maailman toiseksi yleisimmäksi kiristyshaittaohjelmaryhmäksi, samalla kun RansomHub säilytti ykkössijansa. Tutkijat havaitsivat sekä kampanjan, jossa levitettiin Remcos-haittaohjelmaa CrowdStriken päivitysongelman jälkeen, että joukon uusia FakeUpdates-taktiikoita, jotka nousivat jälleen heinäkuun haittaohjelmalistan kärkeen.

CrowdStrike Falcon -sensorissa Windowsille havaittu ongelma johti siihen, että verkkorikolliset levittivät haitallista ZIP-tiedostoa nimeltä crowdstrike-hotfix.zip. Tämä tiedosto sisälsi HijackLoader-haittaohjelman, joka myöhemmin aktivoi Remcos-haittaohjelman. Kampanja kohdistui espanjankielisiä ohjeita käyttäviin yrityksiin, ja siinä hyödynnettiin väärennettyjä verkkotunnuksia tietojenkalasteluhyökkäyksissä.

Tutkijat paljastivat myös joukon uusia taktiikoita, joissa hyödynnettiin FakeUpdates-ohjelmaa. FakeUpdates säilytti kärkisijansa haittaohjelmien listalla toista kuukautta peräkkäin. Vaarantuneilla verkkosivustoilla vierailevat käyttäjät kohtasivat väärennettyjä selainpäivityskehotteita, jotka johtivat etäkäyttötroijalaisten (Remote Access Trojans, RAT), kuten AsyncRATin asentamiseen. Hälyttävää on, että verkkorikolliset ovat nyt alkaneet hyödyntää alun perin vapaaehtoislaskentaan tarkoitettua BOINC-alustaa saadakseen etähallinnan tartunnan saaneisiin järjestelmiin.

”Lockbitin ja RansomHubin kaltaisten ryhmien jatkuva toiminta ja uusi nousu osoittavat, että kyberrikolliset keskittyvät yhä kiristyshaittaohjelmiin. Ne ovat organisaatioille merkittävä ja jatkuva haaste, joka vaikuttaa laajasti yritysten toiminnan jatkuvuuteen ja tietoturvaan. Remcos-haittaohjelman levityksessä käytettiin hyväksi äskettäistä tietoturvaohjelmiston päivitystä. Tämä alleviivaa entisestään rikollisten moraalitonta toimintatapaa, ja heikentää organisaatioiden mahdollisuutta puolustautua hyökkäyksiltä. Näiden uhkien torjumiseksi ja yhä laajenevien kyberhyökkäysten vaikutusten vähentämiseksi organisaatioiden on otettava käyttöön monitasoinen tietoturvastrategia, johon sisältyy vahva päätelaitteiden suojaus, tarkka seuranta ja käyttäjien koulutus”, sanoo VP Resarch Maya Horowitz Check Point Softwarelta.

Suomen yleisimmät haittaohjelmat heinäkuussa 2024:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 6,07 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,27 %.
3. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,87 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 1,87 %.
5. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,40 %.
6. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,40 %.
7. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,47 %.
8. Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 0,47 %.
9. Floxif – Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Tunnettu laajasta kampanjasta vuonna 2017, jolloin Floxif oli mukana CCleaner-sovelluksessa ja tartutti yli 2 miljoonaa käyttäjää, mm. teknologiajätit Googlen, Microsoftin, Ciscon ja Intelin. Esiintyvyys 0,47 %.
10. FakeBat – Haittaohjelma, jota levitetään haitallisilla mainoskampanjoilla käyttäen MSIX-asennusohjelmia, jotka sisältävät vaikealukuiseksi muokattuja PowerShell-skriptejä. Se esiintyy tunnettuina ohjelmistoina, kuten Notion ja Trello, huijatakseen uhreja lataamaan haitallisia tiedostoja. Kampanjoissa hyödynnetään URL-osoitteiden lyhentäjiä ja laillisia verkkosivustoja turvatoimien kiertämiseksi ja haittaohjelman tehokkaammaksi levittämiseksi. Esiintyvyys 0,47 %.

Maailman yleisimmät haittaohjelmat heinäkuussa 2024:

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 7 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana ja on ollut aktiivinen vuodesta 2014 lähtien. Se voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin, kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook. AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 3 %.

Mobiilihaittaohjelmien globaalin listan kärjessä oli Joker, Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Kolmantena oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Viime kuussa maailmanlaajuisesti eniten hyödynnetyt haavoittuvuudet olivat Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086), Zyxel ZyWALL Command Injection (CVE-2023-28771) sekä HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).

Maailmanlaajuisesti useimmin hyökkäysten kohteeksi joutuneet toimialat olivat koulutus/tutkimus, valtionhallinto/puolustusvoimat ja viestintäala. Pohjoismaissa hyökätyimmät toimialat olivat viestintäala, koulutus/tutkimus sekä terveydenhuolto.

Johtavat kiristysryhmät heinäkuussa 2024:

Osion tiedot pohjautuvat niin kutsuttuihin “häpeäsivustoihin”, joilla kaksoiskiristysryhmät julkaisevat maksusta kieltäytyneiden uhriensa tietoja heitä painostaakseen.

Heinäkuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 11 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Lockbit3 8 prosentilla ja Akira 6 prosentilla.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Lockbit3 – Kiristysohjelma toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
3. Akira – Kiristyshaittaohjelma, joka havaittiin ensimmäisen kerran vuoden 2023 alussa, kohdistuu sekä Windows- että Linux-järjestelmiin. Akiraa levitetään eri keinoin, mukaan lukien saastuneet sähköpostin liitetiedostot ja VPN-päätepisteiden haavoittuvuudet. Tartunnan saatuaan se salaa tiedot ja lisää tiedostojen nimiin ”.akira”-päätteen, minkä jälkeen se esittää lunnasvaatimuksen salauksen purkamista varten.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: July 2024’s Most Wanted Malware: Remcos and RansomHub Run Rampant 

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software, jarnoa@checkpoint.com, p. 040 707 0706.

Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software, viivit@checkpoint.com, p. 0400 411 530.

Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Pointia:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal