Check Point Software kertoo haittaohjelmakatsauksessaan, että alasajettu pankkitroijalainen Qbot on aktivoitunut uudelleen. Tietoturvatutkijat havaitsivat Qbotin paluun majoitus- ja ravitsemisalaan suunnatun tietojenkalastelun yhteydessä. Maailman yleisin haittaohjelma FakeUpdates jakoi Suomessa ykkössijan Snatch-kiristyshaitakkeen kanssa.
ESPOO – 11. tammikuuta 2024 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut joulukuun 2023 haittaohjelmakatsauksensa.
Tietoturvatutkijat kertovat, että Qbot-haittaohjelma palasi kartalle neljä kuukautta sen jälkeen, kun Yhdysvaltain ja kansainväliset lainvalvontaviranomaiset hajottivat sen jakeluverkoston Operaatio Duck Huntissa elokuussa 2023. Kyberrikolliset käyttivät Qbotia viime kuussa hotelli- ja ravintola-alaan kohdistuvassa tietojenkalastelussa. Tutkijat havaitsivat, että hakkerit esiintyivät kampanjassa Yhdysvaltain verohallintona (IRS) ja lähettivät haitallisia sähköposteja, joiden liitteenä olevat PDF-tiedostot sisälsivät linkkejä Microsoftin asennusohjelmaan. Kun se aktivoitui, se käynnisti Qbotin ennennäkemättömän version, joka hyödyntää upotettua dynaamista linkkikirjastoa (DLL). Ennen alasajoaan Qbot oli haittaohjelmalistan kärjessä ja yksi kolmesta yleisimmästä haitakkeesta kymmenen perättäisen kuukauden ajan. Vaikka Qbot ei ole vielä palannut top 10-listalle, seuraavat kuukaudet näyttävät, saavuttako se aiemman asemansa.
”Qbot havaittiin uudelleen alle neljä kuukautta jakeluverkostonsa purkamisen jälkeen. Tämä on muistutus siitä, että vaikka voimme häiritä haittaohjelmakampanjoita, niiden takana olevat tekijät mukautuvat uusiin teknologioihin. Tämän vuoksi organisaatioiden tulisi omaksua ennaltaehkäisevä lähestymistapa päätelaitteiden tietoturvaan ja tarkastaa huolellisesti sähköpostiviestien alkuperä ja tarkoitus”, sanoo VP Research Maya Horowitz Check Point Softwarelta.
Maailman yleisimpien haittaohjelmien listakärjessä oli latausohjelma FakeUpdates, joka Suomessa jakoi ykkössijan Snatch-kiristyshaittaohjelman kanssa. JavaScriptillä kirjoitetun haittaohjelman jakelujärjestelmä hyödyntää vaarantuneita verkkosivustoja ja huijaa käyttäjiä suorittamaan väärennettyjä selainpäivityksiä. FakeUpdates on ollut syynä myös monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Windows-haittaohjelma Nanocore säilytti sijansa viiden kärjessä kuudetta kuukautta peräkkäin.
Globaalisti useimmin hyökkäysten kohteena oli koulutus- ja tutkimusala. Sitä seurasivat viestintäala sekä valtionhallinto/puolustusvoimat. Euroopassa kärkisijalla olivat koulutus/tutkimus ja terveydenhuolto. Pohjoismaissa hyökkäykset kohdistuivat useimmin viestintäalaan, IT-palveluntarjoajiin (ISP/MSP) sekä pankki- ja rahoitusalaan.
Suomen yleisimmät haittaohjelmat joulukuussa 2023:
Maailman yleisimmät haittaohjelmat joulukuussa 2023:
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.
Check Pointin tutkijat listasivat myös joulukuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli Apache Log4j Remote Code Execution (CVE-2021-44228), jota on yritetty hyödyntää 46 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260), jonka esiintyvyys oli 46 prosenttia. Kolmannella sijalla oli Zyxel ZyWALL Command Injection (CVE-2023-28771), 43 prosenttia.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista December 2023’s Most Wanted Malware: The Resurgence of Qbot and FakeUpdates.
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.
Lisätiedot:
Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software Technologies, [email protected], p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.
Seuraa Check Pointia:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (https://www.checkpoint.com) on johtava yritysten ja valtionhallinnon kyberturvallisuusratkaisujen tarjoaja globaalisti. Check Point Infinityn ratkaisuportfolio suojaa yrityksiä ja julkisia organisaatioita 5. sukupolven kyberhyökkäyksiltä alan johtavalla haittaohjelmien, kiristysohjelmien ja muiden hyökkäysten kiinnijäämisprosentilla. Infinity koostuu neljästä peruspilarista: Check Point Harmony etäkäyttäjille; Check Point CloudGuard pilven automaattiseen suojaamiseen; ja Check Point Quantum tietoverkkojen ja datakeskusten suojaamiseen. Näitä kaikkia hallitaan alan kattavimmalla ja intuitiivisimmalla yhtenäisellä hallintajärjestelmällä; Check Point Horizonilla, joka on tietoturvapoikkeamien ennaltaehkäisyyn tähtäävä ohjelmisto- ja palvelukokonaisuus. Check Point huolehtii yli 100 000 ison ja pienen yrityksen ja yhteisön tietoturvasta.
Check Point Research
Check Point Research (https://research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
© Koodiviidakko Oy - Y-tunnus 1939962-1