Check Point Research kertoo tammikuun haittaohjelmakatsauksessaan, että tietoturvatutkijat havaitsivat merkittävän kyberuhkien levittäjän VexTrion. Tammikuun aktiivisin kiristysryhmä oli LockBit3. Suomen ja maailman yleisimmät haittaohjelmat olivat FakeUpdates ja Qbot.
ESPOO – 13. tammikuuta 2024 – Maailman johtavan tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoajan Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut tammikuun 2024 haittaohjelmakatsauksensa.
Tietoturvatutkijat havaitsivat viime kuussa uuden ja laajalle levinneen liikenteenjakelujärjestelmän (traffic distribution system TDS), joka tunnetaan nimellä VexTrio. Järjestelmä on tukenut yli 60 toimijaa hyödyntäen laajaa verkostoaan, joka sisältää yli 70 000 luvattomasti käytettyä sivustoa.
VexTrio on ollut toiminnassa vuodesta 2017 ja tehnyt yhteistyötä monien kumppaneiden kanssa. Sen tavoitteena on haittaohjelmien levittäminen hyödyntämällä sen kehittämää monimutkaista TDS-järjestelmää, joka muistuttaa laillisia markkinointiverkostoja. Vaikka se on ollut toiminnassa yli kuusi vuotta, sen toiminnan laajuutta ei ole juurikaan huomattu, sillä sitä on vaikea yhdistää tiettyihin uhkatoimijoihin tai hyökkäysmenetelmiin. Tämä sekä sen laaja verkosto ja edistynet toimintatavat tekevät siitä suuren kyberturvallisuusriskin.
”Kyberrikolliset ovat kehittyneet pelkistä hakkereista petosarkkitehdeiksi, ja VexTrio on taas yksi osoitus siitä, miten kaupallisesti suuntautunutta kyberrikollisuus on nykyään. Sekä yksilöiden että organisaatioiden turvallisuuden varmistamiseksi on tärkeää asettaa etusijalle säännölliset kyberturvallisuuspäivitykset, ottaa käyttöön kattavat päätelaitteen suojatoimet ja kehittää valppaiden verkkokäytäntöjen kulttuuria. Pysymällä ajan tasalla ja toimimalla ennakoivasti voimme yhdessä tehostaa puolustustamme vastaamaan uusiin ja kehittyviin kyberuhkiin”, sanoo Maya Horowitz, VP Research Check Point Softwarelta.
Check Point esittelee katsauksessaan ensimmäistä kertaa kiristysryhmien aktiivisuutta mittaavan rankingin, joka perustuu yli 200 julkaistun tapauksen analyysiin. Viime kuussa LockBit3 osoittautui aktiivisimmaksi ryhmäksi ollen vastuussa 20 prosentista kaikista raportoiduista iskuista. Ryhmä oli mukana useissa tammikuun hyökkäyksissä, esimerkkeinä Subway-pikaruokaketjuun ja Chicagon Saint Anthony -sairaalaan tehdyt iskut.
Globaalisti useimmin hyökkäysten kohteena oli koulutus- ja tutkimusala. Sitä seurasivat valtionhallinto/puolustusvoimat sekä terveydenhuolto. Euroopassa kärkisijalla olivat koulutus/tutkimus, valtionhallinto/puolustusvoimat sekä pankki- ja rahoitusala. Pohjoismaissa hyökkäykset kohdistuivat useimmin valtionhallintoon/puolustusvoimiin sekä koulutus- ja tutkimusalaan.
Suomen yleisimmät haittaohjelmat tammikuussa 2024:
Maailman yleisimmät haittaohjelmat tammikuussa 2024:
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.
Check Pointin tutkijat listasivat myös tammikuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), jota on yritetty hyödyntää 44 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260), jonka esiintyvyys oli 41 prosenttia. Kolmannella sijalla oli HTTP Headers Remote Code Execution, 40 prosenttia.
Johtavat kiristysryhmät tammikuussa 2024:
Tämän uuden osion tiedot pohjautuvat lähes kahteen sataan kiristysryhmien ylläpitämään "häpeäsivustoon". Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Kyberrikolliset pyrkivät listausten avulla painostamaan uhreja, jotka ovat kieltäytyneet maksamasta lunnaita. Vaikka sivustojen tiedoissa on omat vinoutumansa, ne antavat arvokasta tietoa kiristysohjelmien ekosysteemistä, joka on nykyisin yritysten suurin tietoturvauhka. Viime kuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 20 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat 8Base 10 prosentilla ja Akira 9 prosentilla.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: January 2024’s Most Wanted Malware: Major VexTrio Broker Operation Uncovered and Lockbit3 Tops the Ransomware Threats
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.
Lisätiedot:
Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software Technologies, [email protected], p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.
Seuraa Check Pointia:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (https://www.checkpoint.com) on johtava tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja, joka suojaa yli 100 000 organisaatiota ympäri maailmaa. Check Point hyödyntää tekoälyn voimaa parantaakseen kyberturvallisuuden tehokkuutta ja tarkkuutta Infinity Platformin avulla. Sen alan johtavat havaitsemisprosentit mahdollistavat proaktiivisen uhkien ennakoinnin sekä älykkäämmät ja nopeammat reagointiajat. Kattavan alustan pilvipohjaisiin ratkaisuihin lukeutuvat Check Point Harmony työtilan suojaamiseen, Check Point CloudGuard pilven turvaamiseen, Check Point Quantum tietoverkon suojaamiseen ja Check Point Infinity Core Services yhteistyöhön perustuville tietoturvatoiminnoille ja -palveluille.
Check Point Research
Check Point Research (https://research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
© Koodiviidakko Oy - Y-tunnus 1939962-1