Haittaohjelmakatsaus: Tekoälypohjaiset hyökkäykset nousussa, kiristyshaittaohjelmat yhä suuri uhka

Kyberturvallisuuden kenttä muuttuu, kun tekoälypohjaiset haittaohjelmat valtaavat alaa, kertoo Check Point Softwaren tuore tutkimus. Suomen ja koko maailman yleisin haittaohjelma syyskuussa oli yhä FakeUpdates.

ESPOO – 15. lokakuuta 2024 – Maailman johtava tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut syyskuun 2024 haittaohjelmakatsauksensa. Check Pointin tietoturvatutkijat ovat havainneet nousevan trendin: tekoälypohjaisten haittaohjelmien yleistymisen, samalla kun kiristyshaittaohjelmat säilyttävät vahvan asemansa.

Tutkijat havaitsivat, että hyökkääjät ovat todennäköisesti käyttäneet tekoälyä kehittääkseen skriptin, joka levittää AsyncRAT-haittaohjelmaa. Tämä haittaohjelma on nyt noussut kymmenenneksi yleisimpien haittaohjelmien listalla. Hyökkäyksessä käytettiin HTML-smuggling-tekniikkaa, jossa salasanasuojattu ZIP-tiedosto haitallisella VBScript-koodilla lähetettiin käynnistämään tartuntaketju uhrin laitteella. Hyvin jäsennelty ja kommentoitu koodi viittaa tekoälyn käyttöön. Kun skripti suoritettiin, AsyncRAT asentui laitteelle, mikä antoi hyökkääjälle mahdollisuuden tallentaa näppäinpainalluksia, hallita laitetta etänä ja asentaa muita haittaohjelmia. Tämä havainto korostaa kasvavaa trendiä, jossa myös rajoitetut tekniset taidot omaavat kyberrikolliset pystyvät tekoälyn avulla kehittämään haittaohjelmia entistä helpommin.

Check Point Softwaren tutkimusjohtaja Maya Horowitz kommentoi ilmiötä:

”Se, että hyökkääjät ovat alkaneet hyödyntää generatiivista tekoälyä hyökkäysinfrastruktuurissaan, osoittaa kyberhyökkäystaktiikoiden jatkuvan kehittymisen. Kyberrikolliset hyödyntävät yhä enemmän saatavilla olevia teknologioita tehostaakseen toimintaansa. Tämä korostaa ennakoivien tietoturvastrategioiden, kuten kehittyneiden torjuntamenetelmien ja kattavan henkilöstökoulutuksen, tärkeyttä organisaatioille.”

Joker säilytti asemansa maailman yleisimpänä mobiilihaittaohjelmana, ja RansomHub jatkoi johtavana kiristyshaittaohjelmaryhmänä, mikä osoittaa niiden olevan yhä merkittävä uhka kyberturvallisuuden muuttuvalla kentällä.

Suomen yleisimmät haittaohjelmat syyskuussa 2024:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 4,65 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 4,19 %.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 3,26 %.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,33 %.
5. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien ja hallitsi parhaimmillaan yli miljoonaa tartunnan saanutta isäntäkonetta. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. Esiintyvyys 2,33 %.
6. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 1,86 %.
7. Zergeca – Kehittynyt, Golang-kielellä kirjoitettu bottiverkko, joka on ensisijaisesti suunniteltu suorittamaan hajautettuja palvelunestohyökkäyksiä (DDoS) ja kykenee hyödyntämään useita hyökkäysmenetelmiä. DDoS-ominaisuuksien lisäksi Zergeca toimii takaovena ja tarjoaa ominaisuuksia, kuten välityspalvelin, skannaus, tiedostonsiirto ja käänteiskuori. Se käyttää DNS-over-HTTPS (DoH) -tekniikkaa komento- ja valvontapalvelimen nimipalvelun selvitykseen ja hyödyntää Smux-kirjastoa salattuun viestintään. Esiintyvyys 1,86 %.
8. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä. Kun järjestelmä on saanut tartunnan, Raspberry Robin voi helpottaa lisähaittaohjelmien lataamista ja suorittamista. Esiintyvyys 1,40 %.
9. KrustyLoader – KrustyLoader on Rust-kielellä kehitetty haittaohjelma, joka on suunniteltu lataamaan Cobalt Strikea muistuttavan Sliver-hyökkäystyökalun. Se hyödyntää kahta hiljattain paljastettua nollapäivähaavoittuvuutta, CVE-2024-21887 ja CVE-2023-46805, jotka löytyvät Ivantin etäkäyttöön tarkoitetusta VPN-ohjelmistosta. Nämä haavoittuvuudet mahdollistavat todennusta vaatimattoman etäkoodin suorittamisen ja todennuksen ohittamisen. Raporttien mukaan kehittyneet pysyvät uhkatoimijat (APT, advanced persistent threat) ovat nopeasti alkaneet hyödyntää näitä haavoittuvuuksia haittaohjelman levittämiseksi. Esiintyvyys 1,40 %.
10. NJRat – Etähallintatroijalainen (tunnetaan myös nimellä Bladabindi), jonka on kehittänyt M38dHhM-hakkeriryhmä ja joka havaittiin ensimmäisen kerran vuonna 2012. Sitä on käytetty pääasiassa Lähi-idässä, ja kohteina ovat olleet erityisesti valtiolliset toimijat ja organisaatiot. NJRat pystyy tallentamaan näppäinpainalluksia, hallitsemaan uhrin kameraa etänä, varastamaan selaimiin tallennettuja tunnistetietoja, lataamaan ja siirtämään tiedostoja, manipuloimaan prosesseja ja tiedostoja sekä tarkastelemaan uhrin työpöytää. Se tartuttaa uhreja tietojenkalasteluhyökkäysten ja drive-by-latausten kautta ja leviää myös saastuneiden USB-tikkujen tai verkkoasemien kautta. Haittaohjelma toimii komento- ja hallintapalvelimen avulla. Esiintyvyys 0,93 %.

Maailman yleisimmät haittaohjelmat syyskuussa 2024:

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 7 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 6 %.
3. Formbook – Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä markkinoidaan alamaailman hakkerifoorumeilla edullisena haittaohjelmapalveluna (MaaS), ja sillä on tehokkaat väistämistekniikat. Formbook varastaa tunnistetietoja verkkoselaimista, kerää kuvakaappauksia, seuraa ja tallentaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja komento- ja hallintapalvelimelta saatujen ohjeiden mukaan. Esiintyvyys 4 %.

Mobiilihaittaohjelmien globaalin listan kärjessä oli Joker, Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.

Viime kuussa maailmanlaajuisesti eniten hyödynnetyt haavoittuvuudet olivat Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) sekä HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375).

Maailmanlaajuisesti eniten hyökkäysten kohteeksi joutuneet toimialat olivat koulutus ja tutkimus, valtionhallinto ja puolustusvoimat sekä terveydenhuolto.

Johtavat kiristysryhmät syyskuussa 2024:

Tiedot perustuvat niin kutsuttuihin "häpeäsivustoihin", joilla kaksoiskiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 17 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Play 10 prosentilla ja Qilin 5 prosentilla.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Play – Kiristysohjelma, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa. Play-kiristysohjelmat pääsevät yleensä verkkoihin vaarantuneiden tilien kautta tai hyödyntämällä paikkaamattomia haavoittuvuuksia.
3. Qilin (tunnetaan myös nimellä Agenda) – Kiristyshaittaohjelma palveluna (RaaS), jossa rikolliset salaavat ja varastavat tietoja haavoittuvista organisaatioista ja vaativat lunnaita. Heinäkuussa 2022 havaittu haittaohjelma on kehitetty Golang-kielellä. Se kohdistuu erityisesti suuriin yrityksiin sekä arvokkaisiin kohteisiin, kuten terveydenhuoltoon ja koulutusalaan. Qilin leviää yleensä haitallisia linkkejä sisältävillä tietojenkalastelusähköposteilla, joiden kautta hyökkääjät tunkeutuvat uhrin verkkoon, etsivät kriittistä tietoa salattavaksi ja varastavat arkaluonteisia tietoja.

Löydät Top 10 -haittaohjelmalistan kokonaisuudessaan Check Pointin blogista: https://blog.checkpoint.com/research/september-2024s-most-wanted-malware-notable-ai-driven-techniques-and-persistent-ransomhub-threats/.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software, jarnoa@checkpoint.com, p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software, viivit@checkpoint.com, p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Point Softwarea:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal