Terveydenhuolto on hakkereille tuottoisa kohde, seuraukset mahdollisia myös lääkeyhtiöille – Yleisimpien haittaohjelmien kärjessä pankkitroijalainen

Terveydenhuolto nousi huhtikuussa hakkereiden toiseksi suosituimmaksi kohteeksi Pohjoismaissa ja maailmanlaajuisesti, kertoo Check Point Researchin haittaohjelmakatsaus. Laaja roskapostikampanja nosti Qbot-troijalaisen maailman toiseksi yleisimmäksi haittaohjelmaksi, ja Suomessa se säilytti ykkössijansa. IoT-haitake Mirai palasi yleisimpien haittaohjelmien listalle ensimmäistä kertaa vuoteen.

ESPOO – 11. toukokuuta 2023 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut huhtikuun 2023 haittaohjelmakatsauksensa.

CPR:n tietoturvatutkijat havaitsivat viime kuussa mittavan kampanjan, jossa Qbot-haittaohjelmaa levitettiin uudella jakelutavalla sähköposteihin liitettyjen haitallisten, suojattujen PDF-tiedostojen kautta. Kun tiedostot oli ladattu, haittaohjelma asennettiin laitteelle. Haittaohjelmaa levitettiin useilla eri kielillä ja kohteena oli organisaatioita ympäri maailmaa. Qbot oli Suomen yleisin ja maailman toiseksi yleisin haittaohjelma huhtikuussa. Maailman yleisin haitake oli Agent Tesla.

Listapaluun teki Mirai, joka on yksi yleisimmistä IoT (Internet-of-Things, esineiden Internet) -haittaohjelmista. Tutkijat havaitsivat, että se käytti uutta nollapäivän haavoittuvuutta CVE-2023-1380 hyökätäkseen TP-Linkin reitittimiin ja lisätäkseen ne bottiverkkoonsa, jota on käytetty joidenkin kaikkien aikojen tuhoisimmissa hajautetuissa DDoS-hyökkäyksissä. Viimeisin kampanja on jatkoa CPR:n havainnoille IOT-hyökkäysten yleistymisestä.

Huhtikuussa vaihtui myös useimmin kyberhyökkäysten kohteena olevien toimialojen kärki, sillä terveydenhuolto ohitti valtionhallinnon ja nousi sijalle kaksi maailmanlaajuisesti ja Pohjoismaissa. Globaalisti hyökkäysten kohteena olivat useimmin koulutus-/tutkimusalan organisaatiot, Euroopassa ja Pohjoismaissa laitetoimittajat.

Terveydenhuoltolaitoksiin kohdistuvat hyökkäykset ovat hyvin dokumentoituja, ja joissakin maissa ne ovat yhä jatkuvien hyökkäysten kohteena. Esimerkiksi Medusa-kyberrikollisryhmä kohdisti hiljattain hyökkäyksiä syöpälaitoksiin Australiassa. Ala on tuottoisa kohde hakkereille, sillä se avaa heille mahdollisuuden päästä käsiksi luottamuksellisiin potilas- ja maksutietoihin. Tällä voi olla seurauksia myös lääkeyhtiöille, sillä hyökkäykset voivat johtaa kliinisiä tutkimuksia tai uusia lääkkeitä ja laitteita koskeviin tietovuotoihin.

”Verkkorikolliset kehittävät jatkuvasti uusia menetelmiä rajoitusten kiertämiseksi, ja huhtikuun kampanjat ovat yksi todiste siitä, kuinka haittaohjelmat sopeutuvat selviytyäkseen. Qbot on taas hyökkäyskannalla, ja se muistuttaa jälleen kerran siitä, kuin tärkeää on ottaa käyttöön kattavat kyberturvallisuusratkaisut ja olla tarkkana sähköpostien alkuperän ja tarkoituksen suhteen”, sanoo Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat huhtikuussa 2023:

1. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 6,54 %.
2. XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 3,27 %.
3. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,80 %.
4. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 1,87 %.
5. –10. GhOst, Formbook, Mirai, Parite, Danabot, Zegost – Kaikkien esiintyvyys 1,40 %.

Maailman yleisimmät haittaohjelmat huhtikuussa 2023:

1. Agent Tesla – Kehittynyt RAT, joka pystyy varastamaan tietoja sekä tarkkailemaan ja tallentamaan näppäintoimintoja, ottamaan kuvakaappauksia ja keräämään kaikessa hiljaisuudessa uhrin käyttämien ohjelmistojen salasanoja. Esiintyvyys 10 %.
2. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 4 %.
3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 4 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli etäkäyttötroijalainen (RAT) AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Toisella sijalla oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa.  Kolmantena oli Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia.

Check Pointin tutkijat listasivat myös huhtikuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Servers Malicious URL Directory Traversal”, jota on yritetty hyödyntää 48 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution (CVE-2021-44228)”, ja sen esiintyvyys oli 44 prosenttia. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)”, jonka esiintyvyys oli 43 prosenttia.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: April 2023’s Most Wanted Malware: Qbot Launches Substantial Malspam Campaign and Mirai Makes its Return.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.

Haastattelu- ja kuvapyynnöt:

Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.

Seuraa Check Point Researchia:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch