Tietovaras Lumma on Suomen yleisin haittaohjelma, Necro uhkaa miljoonia Android-laitteita – Haitakkeet leviävät pelilinkkien, GitHub-kalastelun ja Google Playn kautta

Check Point Softwaren tuore haittaohjelmakatsaus osoittaa, että tietoja varastavat haittaohjelmat yleistyvät. Lumma Stealer, joka kerää käyttäjätunnuksia ja arkaluonteista dataa vaarantuneista järjestelmistä, on noussut Suomen yleisimmäksi ja maailman neljänneksi yleisimmäksi haittaohjelmaksi. Mobiilihaittaohjelmat, kuten Google Playsta Android-laitteisiin leviävä Necro, ovat edelleen merkittävä uhka.

ESPOO – 11. marraskuuta 2024 – Maailman johtava tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja Check Point Software Technologies on julkaissut lokakuun 2024 haittaohjelmakatsauksensa. Raportti tuo esiin huolestuttavan kehityksen kyberturvallisuudessa: tietoja varastavien haittaohjelmien yleistymisen ja kyberrikollisten hyökkäystapojen kehittymisen.

Tehokkaasti vaarantuneista järjestelmistä tunnistetietoja ja arkaluonteista dataa varastavat haittaohjelmat ovat yleistyneet. Lokakuussa tutkijat havaitsivat tartuntaketjun, jossa väärennettyjä CAPTCHA-sivuja käytetään Lumma Stealer -haittaohjelman levittämiseen. Lumma nousi lokakuussa Suomen haittaohjelmalistan kärkeen ja maailmanlaajuisesti neljännelle sijalle. Haittaohjelman leviäminen on huomionarvoista sen globaalin ulottuvuuden vuoksi. Se vaikuttaa useissa maissa pääasiallisesti kahdella tartuntatavalla: laittomien pelikopioiden latauslinkkien ja GitHub-käyttäjiin kohdistuvien tietojenkalastelusähköpostien avulla. Uhrit huijataan suorittamaan haitallinen komentosarja, joka on kopioitu heidän leikepöydälleen.

Mobiilihaittaohjelmista Necron uusi versio on noussut merkittäväksi uhaksi ja se oli lokakuussa toisella sijalla. Necro on tartuttanut useita suosittuja sovelluksia, kuten Google Playsta saatavia modifioituja pelejä, joiden käyttäjäkunta kattaa yli 11 miljoonaa Android-laitetta. Necro käyttää häivytystekniikoita havaitsemisen välttämiseksi ja hyödyntää steganografiaa peittääkseen haitallisen sisällön. Steganografia tarkoittaa tiedon piilottamista toiseen viestiin tai objektiin. Aktivoituessaan Necro voi käyttäjän huomaamatta avata mainoksia taustalla, klikata niitä ja rekisteröidä uhrin maksullisiin palveluihin. Tämä kuvastaa hyökkääjien jatkuvasti kehittyviä keinoja saada taloudellista hyötyä.

”Tietoja varastavien haittaohjelmien kehittyminen osoittaa, että kyberrikolliset uudistavat menetelmiään jatkuvasti ja hyödyntävät innovatiivisia hyökkäystapoja. Organisaatioiden on mentävä perinteisiä puolustuskeinoja pidemmälle ja omaksuttava ennakoivia ja mukautuvia turvatoimia, jotka pystyvät vastaamaan uusiin uhkiin tehokkaasti”, kommentoi VP of Research Maya Horowitz Check Point Softwarelta.

Suomen yleisimmät haittaohjelmat lokakuussa 2024:

1. Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 3,29 %.
3. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Esiintyvyys 2,82 %.
4. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,35 %.
5. GootLoader – Huomaamaton haittaohjelma, joka toimii lataajana hyökkäyksissä Windows-järjestelmiin. GootKit-pankkitroijalaisen lataajaksi kehitetty GootLoader on muuttunut monikäyttöiseksi haittaohjelma-alustaksi, joka voi toimittaa edistyneitä hyökkäystyökaluja, kuten Cobalt Striken ja REvil-kiristyshaittaohjelman. GootLoader käyttää hakukoneoptimoinnin manipulointia uhrien ohjaamiseksi vaarantuneille verkkosivuille ja suorittaa drive-by-lataushyökkäyksiä, jotka vaikuttavat moniin toimialoihin eri maissa. Se hyödyntää kehittyneitä tekniikoita, kuten koodin piilotusta ja PowerShell-komentoja havaitsemisen välttämiseksi. Esiintyvyys 1,41 %.

Maailman yleisimmät haittaohjelmat lokakuussa 2024:

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 6 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. Agent Tesla – AgentTesla on edistynyt etähallintatroijalainen (RAT), joka toimii keyloggerina ja tietoja varastavana haittaohjelmana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 4 %.
4. Lumma (tunnetaan myös nimellä LummaC2) – Venäjään yhdistetty tietoja varastava haittaohjelma, joka on toiminut haittaohjelmapalvelun (Malware-as-a-Service, MaaS) alustana vuodesta 2022. Se havaittiin vuoden 2022 puolivälissä, ja se kehittyy jatkuvasti sekä leviää aktiivisesti venäjänkielisillä foorumeilla. LummaC2 kerää tartunnan saaneista järjestelmistä tietoa, kuten selainkäyttäjätunnuksia ja kryptovaluuttatilien tietoja. Esiintyvyys 3,29 %.
5. Formbook – Windows-käyttöjärjestelmiin kohdistuva tietovaras, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä markkinoidaan alamaailman hakkerifoorumeilla edullisena haittaohjelmapalveluna (MaaS), ja sillä on tehokkaat väistämistekniikat. Formbook varastaa tunnistetietoja verkkoselaimista, kerää kuvakaappauksia, seuraa ja tallentaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja komento- ja hallintapalvelimelta saatujen ohjeiden mukaan.

Mobiilihaittaohjelmien globaalin listan kärjessä oli Joker, Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla. Toisella sijalla oli Android-troijalainen Necro, joka pystyy lataamaan muita haittaohjelmia, näyttämään häiritseviä mainoksia ja varastamaan rahaa tilaamalla maksullisia palveluja uhrinsa tietämättä. Kolmantena oli Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa.

Viime kuussa maailmanlaajuisesti eniten hyödynnetyt haavoittuvuudet olivat Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260), Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), sekä Zyxel ZyWALL Command Injection (CVE-2023-28771).

Maailmanlaajuisesti eniten hyökkäysten kohteeksi joutuneet toimialat olivat koulutus ja tutkimus, valtionhallinto ja puolustusvoimat sekä viestintäala.

Johtavat kiristysryhmät lokakuussa 2024:

Tiedot perustuvat niin kutsuttuihin "häpeäsivustoihin", joilla kaksoiskiristysryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli RansomHub, joka oli vastuussa 17 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Play 10 prosentilla ja Qilin 5 prosentilla.

1. RansomHub – Kiristyshaittaohjelma toimii palveluna (RaaS, Ransomware as a Service), ja se syntyi aiemmin tunnetun Knight-kiristyshaittaohjelman uudelleenbrändäyksenä. RansomHub nousi näkyvästi esiin vuoden 2024 alussa kyberrikollisuuspiireissä ja sai nopeasti mainetta aggressiivisista kampanjoistaan, jotka kohdistuvat esimerkiksi Windows-, macOS- ja Linux-käyttöjärjestelmiin sekä erityisesti VMware ESXi -ympäristöihin. Tämä haittaohjelma on tunnettu kehittyneiden salausmenetelmiensä käytöstä.
2. Play – Kiristysohjelma, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa. Play-kiristysohjelmat pääsevät yleensä verkkoihin vaarantuneiden tilien kautta tai hyödyntämällä paikkaamattomia haavoittuvuuksia.
3. Meow – Conti-kiristyshaittaohjelman variantti, joka tunnetaan monenlaisten tiedostojen salaamisesta vaarantuneissa järjestelmissä ja ".MEOW"-päätteen liittämisestä niihin. Se jättää jälkeensä "readme.txt" -nimisen tiedoston, jossa uhreja kehotetaan ottamaan yhteyttä hyökkääjiin sähköpostitse tai Telegramin kautta neuvotellakseen lunnasmaksuista. Meow leviää useiden vektorien, kuten suojaamattomien RDP-konfiguraatioiden, sähköpostin roskapostikampanjoiden ja haitallisten latausten kautta. Se käyttää ChaCha20-salausalgoritmia tiedostojen lukitsemiseen, lukuun ottamatta ".exe"- ja tekstitiedostoja.

Löydät Top 10 -haittaohjelmalistan kokonaisuudessaan Check Pointin blogista: https://blog.checkpoint.com/

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software, jarnoa@checkpoint.com, p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software, viivit@checkpoint.com, p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Pointia:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal