Kyberrikolliset voivat hyödyntää esimerkiksi koronavirusuutisointia.
Dridex-pankkitroijalainen oli huhtikuun yleisin kyberuhka maailmassa, kertoo tietoturvayhtiö Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research haittaohjelmakatsauksessaan. Kolmannelle sijalle ylsi Agent Tesla -etäkäyttötroijalaisen uusi versio, joka kykenee esimerkiksi varastamaan WiFi-salasanoja.
Maailman yleisimpien haittaohjelmien listan kolmannelle sijalle on noussut Agent Tesla -etäkäyttötroijalaisen uusi versio, Check Point kertoo. Huhtikuussa haittaohjelmaa löytyi kolmessa prosentissa maailman yritysverkoista ja sitä on levitetty useissa koronavirusaiheisissa roskapostikampanjoissa.
Agent Teslaa on muokattu varastamaan kohdetietokoneilta WiFi-salasanoja sekä muita tietoja tietoja, kuten Outlook-sähköpostitietoja. Huhtikuussa haittaohjelmaa jaettiin liitteenä useissa koronavirusaiheisissa roskapostikampanjoissa. Kampanjoissa uhria houkuteltiin lataamaan haitallinen tiedosto tarjoamalla tietoa pandemiasta. Viesti lähetettiin muun muassa Maailman terveysjärjestö WHO:n nimissä ja aiheena olivat koronavirusrokotteet: ‘URGENT INFORMATION LETTER: FIRST HUMAN COVID-19 VACCINE TEST / RESULT UPDATE”". Check Point Researchin mukaan hakkerit hyödyntävät globaaleja uutisia ja huolenaiheita.
LUE MYÖS: Supon päällikkö: Koronan aiheuttamat poikkeusolot voivat luoda uusia tilaisuuksia laittomalle tiedustelulle – Tämä ulkomaisia vakoojia kiinnostaa pandemian keskellä
Osoitys kyberrikollisten ketteryydestä
Maaliskuussa kymmenen yleisimmän haittaohjelman listalle nousi ensi kertaa Dridex-pankkitroijalainen. Huhtikuussa se nousi listan kolmannelta sijalta ensimmäiseksi, mikä tarkoittaa, että se esiintyi neljässä prosentissa organisaatioista maailmanlaajuisesti. Maaliskuun yleisin haittaohjelma, XMRig, putosi sijalle kakkossijalle.
– Huhtikuussa havaitsemamme Agent Teslaa levittävät kampanjat osoittavat, kuinka ketteriä kyberrikolliset ovat uutisten hyödyntämisessä ja hyväuskoisten uhriensa huijaamisessa napsauttamaan haitallisia linkkejä, kertoo Check Pointin Maya Horowitz, Threat Intelligence & Research, Products -yksikön johtaja tiedotteessa.
– Sekä Agent Tesla että Dridex ovat haittaohjelmien kolmen kärjessä, joten kyberrikolliset keskittyvät nyt käyttäjien henkilökohtaisten ja yritystietojen varastamiseen rahaa ansaitakseen. On välttämätöntä, että yritykset pitävät henkilökuntansa ajan tasalla uusimmista suojautumistekniikoista ja työkaluista, etenkin kun yhä useampi työskentelee nyt etänä.
Check Pointin tutkijat varoittavat myös, että edelleen yleisin hyväksi käytetty haavoittuvuus oli ”MVPower DVR Remote Code Execution”, jota esiintyi 46 prosentissa yritysverkoista maailmanlaajuisesti. Sen perässä seurasi ”OpenSSL TLS DTLS Heartbeat Information Disclosure”, jota esiintyi 41 prosentissa yritysverkoista. Kolmannella sijalla oli “Command Injection over HTTP Payload”, jonka esiintyvyys oli 40 prosenttia.
Check Point Research listasi Suomen yleisimmät haittaohjelmat huhtikuulta:
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 1,87 %.
- Mirai – Tunnettu haavoittuvien IoT (Internet of Things) -laitteiden tartuttamisesta ja massiivisista DDoS-hyökkäyksistä. Esiintyvyys 1,87 %.
- XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 1,87 %.
- Jsecoin – Verkkosivuille upotettava kryptovaluutan louhintaohjelma. Esiintyvyys 1,40 %.
- Shiz– Haittaohjelma, joka kätkeytyy Windows-ohjelmiin ja pyrkii varastamaan käyttäjän tietoja. Esiintyvyys 1,40 %.
- TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 1,40 %.
- Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Esiintyvyys 1,40 %.
- RigEK – Haittaohjelmien lataaja Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksissa. Esiintyvyys 0,93%.
- Ramnit– Mato, joka leviää pääasiassa ulkoisten kovalevyjen ja avoimien FTP-palvelinten kautta. Mato luo itsestään kopion ja tartuttaa laitteen ulkoiset ja sisäiset muistit. Esiintyvyys 0,93%.
- Adposhel. Esiintyvyys 0,93%.
- Adylkuzz. Esiintyvyys 0,93%.
- Catch22. Esiintyvyys 0,93%.
- Facexworm – Haittaohjelma varastaa salasanoja ja kryptovaluuttaa ja levittää roskapostia Facebook-käyttäjille. Esiintyvyys 0,93%.
- Valerie. Esiintyvyys 0,93%.
Maailman yleisimmät haittaohjelmat ja haavoittuvuudet huhtikuussa 2020:
- Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 4 %.
- XMRig – Avoimen lähdekoodin louhintaohjelma, jota käytetään Moneron louhintaan. Esiintyvyys 4 %.
- Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox) tietoihin. Esiintyvyys 3 %.
Mobiilihaittaohjelmatkin listattiin
Mobiilihaittaohjelmien osalta ykkösenä oli huhtikuussa xHelper. Sitä käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. xHelper-sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta. Mikäli käyttäjä poistaa sen, sovellus kykenee asentamaan itsensä uudelleen.
Toiseksi yleisin mobiilihaittaohjelma oli Android-laitteiden haavoittuvuuksia hyödyntävä hakkerityökalu Lotoor. Kolmannella sijalla oli myös Android-käyttäjiin kohdistuva mainosohjelma AndroidBauts.
Listaus myös käytetyimmistä haavoittuvuuksista
Check Point listasi myös huhtikuun käytetyimmät haavoittuvuudet. Tämän luettelon kärjessä oli “MVPower DVR Remote Code Execution”, jota yritettiin hyödyntää 46 prosentissa yritysverkoista globaalisti. Toiseksi yleisin oli “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)”, jonka esiintyvyys oli 41 prosenttia. Kolmannella sijalla oli “Command Injection Over HTTP Payload”, jonka esiintyvyys oli 40 prosenttia.
Haittaohjelmatilasto laaditaan kuukausittain ja se perustuu Check Pointin ThreatCloudin tietoihin. Verkosto kerää tietoja kyperhyökkäyksistä. ThreatCloud-tietokanta tarkastaa verkkosivustoja ja tiedostoja sekä tunnistaa haittaohjelmatoimintaa.
LUE MYÖS: Ruotsin turvallisuuspoliisi: Koronakriisi voi lisätä vakoilua – etätyössä omat riskinsä
LUE MYÖS: Espoolaiskoulun oppilaiden silmille rävähti pornoa kesken etäopetustuokion – "Emme saaneet poistettua tätä henkilöä"
Lähteet: Check Point Software Technologies Finland Oy:n tiedote, Blog.checkpoint.com