Yleisimmät haittaohjelmat: Meow-kiristyshaittaohjelman nousu osoittaa muutoksen kiristysryhmien ansaintamallissa

Check Point Softwaren tietoturvatutkijat kertovat, että RansomHub säilytti ylivoimaisen asemansa maailman kiristysohjelmaryhmien ykkösenä. Meow-kiristysohjelma nousi toiselle sijalle uusien toimintatapojen ja merkittävän vaikutuksensa ansiosta. Suomen yleisin haittaohjelma oli yhä FakeUpdates.

ESPOO – 11. syyskuuta 2024 – Maailman johtava tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut elokuun 2024 haittaohjelmakatsauksensa. Check Pointin tietoturvatutkijat kertovat, että kiristyshaittaohjelmat ovat edelleen merkittävä uhka, ja RansomHub säilytti asemansa maailman yleisimpänä kiristyshaittaohjelmaryhmänä. Tämä Ransomware-as-a-Service (RaaS) -operaatio on kasvanut nopeasti sen jälkeen, kun se vaihtoi nimensä aiemmin tunnetusta Knight-kiristyshaittaohjelmasta. Se on hyökännyt jo yli 210 kohteeseen ympäri maailmaa. Samalla Meow-kiristyshaittaohjelma on noussut esiin ja siirtynyt tiedostojen salauksesta varastettujen tietojen myyntiin tietovuotojen kauppapaikoilla.

Elokuussa RansomHub vahvisti asemansa merkittävimpänä kiristysohjelmauhkana, kuten FBI:n, CISA:n, MS-ISAC:n ja HHS:n yhteislausunnossa todetaan. Tämä RaaS-operaatio on hyökännyt aggressiivisesti Windows-, macOS- ja Linux-järjestelmiin, erityisesti VMware ESXi -ympäristöihin. Hyökkäyksissä on hyödynnetty kehittyneitä salaustekniikoita.

Meow-kiristyshaittaohjelma nousi elokuussa ensimmäistä kertaa toiselle sijalle kiristyshaittaohjelmien listalla. Se on saanut alkunsa Conti-kiristyshaittaohjelman vuotaneesta koodista ja siirtänyt painopisteensä tiedostojen salaamisesta tietojen varastamiseen ja niiden myyntiin tietovuotojen kauppapaikoilla. Tässä ansaintamallissa varastetut tiedot myydään korkeimman tarjouksen tehneelle, mikä eroaa perinteisistä kiristystaktiikoista, joissa uhreja painostetaan maksamaan lunnaita.

”RansomHubin nousu elokuun suurimmaksi kiristyshaittaohjelmauhaksi korostaa RaaS-operaatioiden yhä kasvavaa kehittyneisyyttä”, sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz ja jatkaa:

”Organisaatioiden on oltava nyt valppaampia kuin koskaan. Meow-kiristyshaittaohjelman nousu kuvastaa kiristyshaittaohjelmaoperaattoreiden siirtymistä uuteen ansaintamalliin, jossa hyödynnetään tietovuotojen kauppapaikkoja. Varastettua tietoa myydään yhä useammin kolmansille osapuolille sen sijaan, että se julkaistaisiin verkossa. Näiden uhkien kehittyessä yritysten on pysyttävä hereillä, otettava käyttöön ennakoivia turvatoimia ja vahvistettava jatkuvasti suojaustaan entistä kehittyneempiä hyökkäyksiä vastaan.”

Suomen yleisimmät haittaohjelmat elokuussa 2024:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 7,55 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,77 %.
3. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien ja hallitsi parhaimmillaan yli miljoonaa tartunnan saanutta isäntäkonetta. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 3,30 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,36 %.
5. BMANAGER – BMANAGER on uhkatoimija Boolkan kehittämä modulaarinen troijalainen, joka on suunniteltu edistyneeseen tiedonkeruuseen vaarantuneista järjestelmistä. Vuodesta 2022 lähtien BMANAGER on ollut osa Boolkan kehitystä kohti monimutkaisia haittaohjelmastrategioita. Sen sisältämät komponentit on räätälöity tiettyihin toimintoihin, kuten näppäinpainallusten kirjaamiseen, tiedostojen varastamiseen ja tietojen siirtämiseen. BMANAGER pystyy lataamaan tiedostoja C2-palvelimelta, hallitsemaan Windowsin käynnistystehtäviä ja suorittamaan tiedostoja. Se leviää ensisijaisesti verkkosivustojen haavoittuvuuksia hyödyntävien SQL-injektiohyökkäysten kautta, mahdollistaen käyttäjän tietojen huomaamattoman varastamisen. Esiintyvyys 1,89 %.
6. Qbot – Monikäyttöinen haittaohjelma (tunnetaan myös nimellä Qakbot) ilmestyi alun perin pankkitroijalaisena vuonna 2007 ja on kehittynyt työkaluksi tunnistetietojen varastamiseen, kiristyshaittaohjelmien levittämiseen ja takaovien avaamiseen saastuneisiin järjestelmiin. Pahamaineinen TA577-ryhmä on levittänyt Qbotia tehokkaasti edistyneillä tietojenkalastelukampanjoilla. Viranomaiset yrittivät elokuussa 2023 alasajaa Qbotin toiminnan, mutta se osoitti huomattavaa sitkeyttä ja sopeutumiskykyä. Joulukuusta 2023 lähtien Qbot on ollut jälleen nousussa, kun uhkatoimijat ovat kehittäneet siitä uusia versioita. Haittaohjelma leviää erityisesti kohdennetuilla tietojenkalastelukampanjoilla, haavoittuvuuksien hyväksikäytöllä ja haitallisten mainosten välityksellä. Esiintyvyys 1,42 %.
7. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,42 %.
8. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,42 %.
9. KrustyLoader – Esiintyvyys 1,42 %.
10. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 0,94 %.

Maailman yleisimmät haittaohjelmat elokuussa 2024:

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 8 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. Phorpiex – Bottiverkko, joka tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 5 %.

Mobiilihaittaohjelmien globaalin listan kärjessä oli Joker, Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Kolmantena oli Hydra-pankkitroijalainen, joka on suunniteltu varastamaan pankkitunnuksia pyytämällä uhreja antamaan korkean riskin käyttöoikeudet ja pääsyn aina, kun he käyttävät jotakin pankkisovellusta.

Viime kuussa maailmanlaajuisesti eniten hyödynnetyt haavoittuvuudet olivat Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086), Zyxel ZyWALL Command Injection (CVE-2023-28771) sekä HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).

Maailmanlaajuisesti eniten hyökkäysten kohteeksi joutuneet toimialat olivat koulutus ja tutkimus, valtionhallinto ja puolustusvoimat sekä terveydenhuolto.

Johtavat kiristysryhmät elokuussa 2024:

Tiedot perustuvat niin kutsuttuihin "häpeäsivustoihin", joilla kaksoiskiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 15 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Meow 9 prosentilla ja Akira 8 prosentilla.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Meow – Conti-kiristyshaittaohjelman variantti, joka tunnetaan monenlaisten tiedostojen salaamisesta vaarantuneissa järjestelmissä ja ".MEOW"-päätteen liittämisestä niihin. Se jättää jälkeensä "readme.txt" -nimisen lunnasvaatimustiedoston, jossa uhreja kehotetaan ottamaan yhteyttä hyökkääjiin sähköpostitse tai Telegramin kautta neuvotellakseen lunnasmaksuista. Meow leviää useiden vektorien, kuten suojaamattomien RDP-konfiguraatioiden, sähköpostin roskapostikampanjoiden ja haitallisten latausten kautta. Se käyttää ChaCha20-salausalgoritmia tiedostojen lukitsemiseen, lukuun ottamatta ".exe"- ja tekstitiedostoja.
3. Lockbit3 – Kiristysohjelma toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: https://blog.checkpoint.com/research/august-2024s-most-wanted-malware-ransomhub-reigns-supreme-while-meow-ransomware-surges/.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software, jarnoa@checkpoint.com, p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software, viivit@checkpoint.com, p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Pointia:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal