Check Point Software kertoo elokuun haittaohjelmakatsauksessaan, että uusi Chrome-käyttäjiin kohdistuva Shampoo-kampanja levittää haitallisia selainlaajennuksia. FBI:n johdolla kaadettu Qbot-pankkitroijalainen säilytti vielä elokuussa sijansa maailman ja Suomen yleisimpänä haittaohjelmana. Mobiilihaitakkeista yleisin oli yhä Android-käyttäjiin kohdistuva Anubis. Kyberhyökkäysten kohteena oli maailman ja Euroopan laajuisesti useimmin koulutus- ja tutkimusala, Pohjoismaissa valtionhallinto/puolustusvoimat. Näitä seurasi viestintäala.
ESPOO – 13. syyskuuta 2023 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut elokuun 2023 haittaohjelmakatsauksensa.
Tietoturvatutkijat kertovat, että Google Chrome -selaimen käyttäjiin kohdistuu uusi ChromeLoader-kampanja nimeltään Shampoo. Se levittää haitallisia selainlaajennuksia sisältäviä mainoksia. ChromeLoader-selainkaappari havaittiin ensimmäistä kertaa vuonna 2022. Shampoo-kampanjassa uhrit huijataan suorittamaan VBScript-tiedostoja, jotka asentavat haitallisia Chrome-laajennuksia. Asennettuina ne voivat kerätä henkilökohtaisia tietoja ja häiritä selaamista ei-toivotuilla mainoksilla.
Elokuussa FBI ilmoitti onnistuneensa merkittävässä globaalissa operaatiossaan Qbotia (eli Qakbotia) vastaan. Operation Duck Huntissa FBI otti bottiverkon hallintaansa ja poisti haittaohjelman tartunnan saaneilta laitteilta, joita oli merkittävä määrä. Qbotia käytettiin rikollisiin toimiin, mukaan lukien kiristysohjelmahyökkäykset, yhteistyössä muiden toimijoiden kanssa. Se levisi yleensä tietojenkalastelukampanjoiden kautta. Vaikka Qbot säilyi elokuussa yleisimpänä haittaohjelmana, Check Point havaitsi sen vaikutuksen vähentyneen huomattavasti operaation jälkeen.
”QBotin kaataminen oli merkittävä edistysaskel taistelussa kyberrikollisuutta vastaan. Emme kuitenkaan voi levätä laakereillamme, sillä kun yksi kaatuu, toinen nousee väistämättä sen tilalle. Meidän kaikkien tulee pysyä valppaina, työskennellä yhdessä ja jatkaa hyvien tietoturvakäytäntöjen harjoittamista kaikilla hyökkäysvektoreilla”, sanoo VP Research Maya Horowitz Check Point Softwarelta.
Koulutus- ja tutkimusala oli globaalisti useimmin hyökkäysten kohteena oleva toimiala elokuussa. Sitä seurasivat viestintäala sekä valtionhallinto/puolustusvoimat. Viestintäala ohitti terveydenhuollon ensimmäistä kertaa tänä vuonna, ja alan organisaatioiden kohtaamista kyberhyökkäyksistä on useita esimerkkejä. Esimerkiksi maaliskuussa Kiinan valtion tukeman APT41-kybervakoiluryhmän kohteena oli telekommunikaatioala Lähi-idässä.
Pohjoismaissa hyökkäysten kohteena olivat useimmin valtionhallinto/puolustusvoimat, joita seurasivat viestintäala ja ohjelmistotoimittajat. Euroopan hyökätyimmät alat olivat koulutus ja tutkimus, viestintä ja terveydenhuolto.
Suomen yleisimmät haittaohjelmat elokuussa 2023:
Maailman yleisimmät haittaohjelmat elokuussa 2023:
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli SpinOK, Android-laitteiden ohjelmamoduuli, joka on koodattu vakoiluohjelmaksi. Se kerää tietoja laitteelle tallennetuista tiedostoista ja pystyy välittämään niitä kyberrikollisille. Toukokuuhun 2023 mennessä haittaohjelma oli löydetty jo yli sadasta Android-sovelluksesta ja se oli ladattu laitteille 421 000 000 kertaa.
Check Pointin tutkijat listasivat myös elokuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756), jota on yritetty hyödyntää 40 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), ja sen esiintyvyys oli 38 prosenttia. Kolmannella sijalla oli MVPower CCTV DVR Remote Code Execution (CVE-2016-20016), jonka esiintyvyys oli 35 prosenttia.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: August 2023’s Most Wanted Malware: New ChromeLoader Campaign Spreads Malicious Browser Extensions while QBot is Shut Down by FBI
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.
Lisätiedot:
Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software Technologies, [email protected], p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.
Haastattelu- ja kuvapyynnöt:
Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (https://www.checkpoint.com) on johtava yritysten ja valtionhallinnon kyberturvallisuusratkaisujen tarjoaja globaalisti. Check Point Infinityn ratkaisuportfolio suojaa yrityksiä ja julkisia organisaatioita 5. sukupolven kyberhyökkäyksiltä alan johtavalla haittaohjelmien, kiristysohjelmien ja muiden hyökkäysten kiinnijäämisprosentilla. Infinity koostuu neljästä peruspilarista: Check Point Harmony etäkäyttäjille; Check Point CloudGuard pilven automaattiseen suojaamiseen; ja Check Point Quantum tietoverkkojen ja datakeskusten suojaamiseen. Näitä kaikkia hallitaan alan kattavimmalla ja intuitiivisimmalla yhtenäisellä hallintajärjestelmällä; Check Point Horizonilla, joka on tietoturvapoikkeamien ennaltaehkäisyyn tähtäävä ohjelmisto- ja palvelukokonaisuus. Check Point huolehtii yli 100 000 ison ja pienen yrityksen ja yhteisön tietoturvasta.
Check Point Research
Check Point Research (https://research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
© Koodiviidakko Oy - Y-tunnus 1939962-1