Yleisimmät haittaohjelmat: Emotet iskee jälleen viiden kuukauden poissaolon jälkeen

Tietoturvayhtiö Check Pointin tutkijat havaitsivat, että Emotet-bottiverkko levittää ahkerasti roskapostikampanjoita pitkän tauon jälkeen.

ESPOO – 11. elokuuta 2020 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research kertoo haittaohjelmakatsauksessaan, että Emotet-bottiverkko on palannut takaisin maailman yleisimmäksi haittaohjelmaksi viiden kuukauden poissaolon jälkeen. Sitä esiintyy viidessä prosentissa yritysverkoista maailmanlaajuisesti.

Helmikuussa 2020 Emotetin toiminta hidastui ja lopulta taukosi, kunnes alkoi uudelleen heinäkuussa. Emotet on käynyt tauolla ennenkin: vuonna 2019 se lopetti toimintansa kesäkuukausiksi, mutta jatkoi syyskuussa.

Emotet levitti heinäkuussa roskapostikampanjoita tartuttaen uhrinsa TrickBotilla ja Qbotilla, joita käytetään muun muassa pankkitietojen varastamiseen. Jotkut sähköpostikampanjat ovat sisältäneet haitallisia tiedostoja nimeltään ”form.doc” tai “billice.doc”.

”Voimme olettaa, että bottiverkon takana olevat kehittäjät ovat tauon aikana päivittäneet sen ominaisuuksia. Mutta koska se on jälleen aktiivinen, organisaatioiden tulisi ohjeistaa työntekijöitään tunnistamaan tällaiset uhat ja varoittaa sähköpostiviestien liitteiden tai linkkien avaamisen riskeistä. Yritysten tulisi myös harkita sellaisten haittaohjelmien torjuntaratkaisujen käyttöönottoa, jotka voivat estää tällaisen sisällön päätymisen loppukäyttäjille”, sanoo Maya Horowitz, Check Pointin Director, Threat Intelligence & Research, Products.

Tutkimusryhmä kertoo myös, että yleisintä haavoittuvuutta, “MVPower DVR Remote Code Execution”, on yritetty hyödyntää 44 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin, “OpenSSL TLS DTLS Heartbeat Information Disclosure”, vaikuttaa 42 prosenttiin organisaatioista. Kolmannella sijalla on ”Command Injection Over HTTP Payload”, esiintyvyys 38 prosenttia.

Suomessa Emotet ei yltänyt heinäkuun kymmenen yleisimmän haittaohjelman listalle. Kärkisijoilla olivat Dridex ja AgentTesla, joita esiintyi lähes 6 prosentissa yritysverkoista.

Suomen yleisimmät haittaohjelmat heinäkuussa 2020:

1. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 5,81 %.
2. AgentTesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 5,81 %.
3. TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 3,32 %.
4. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 5,81 %.
5. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,32 %.
6. Mirai – Tunnettu haavoittuvien IoT-laitteiden tartuttamisesta ja massiivisista DDoS-hyökkäyksistä. Esiintyvyys 0,83 %.
7. RigEK – Haittaohjelmien lataaja Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksissa. Esiintyvyys 1,24 %.
8. Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,24 %.
9. Urfnif – Sähköposti- ja pankkitunnuksia varastava pankkitroijalainen, jonka kohteena ovat Windows-tietokoneet. Leviää haitallisten roskapostikampanjoiden Word- ja Excel-liitteiden kautta. Esiintyvyys 0,83 %.
10. Smforw. Esiintyvyys 1,66 %.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet heinäkuussa 2020:

1. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 5 %.
2. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 4 %.
3. Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox) tietoihin. Esiintyvyys 4 %.

Mobiilihaittaohjelmien globaalilla listalla ykkösenä oli heinäkuussa xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Toiseksi yleisin oli Android-haittaohjelma Necro, joka voi ladata muita haittaohjelmia, näyttää häiritseviä mainoksia ja varastaa rahaa. Kolmannella sijalla oli Android-haittaohjelma PreAmo, joka jäljittelee käyttäjää klikkaamalla bannereita.

Check Pointin tutkijat listasivat myös heinäkuun käytetyimmät haavoittuvuudet. Luettelon kärjessä oli “MVPower DVR Remote Code Execution”, jota yritettiin hyödyntää 44 prosentissa yritysverkoista maailmanlaajuisesti. Toiseksi yleisin oli “OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)”, esiintyvyys 42 prosenttia. Kolmannella sijalla oli “Command Injection Over HTTP Payload”, esiintyvyys 38 prosenttia.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 2,5 miljardia verkkosivustoa ja 500 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.

Lisätiedot:

Rami Rauanmaa, Head of Security Engineering, Finland and Baltics, Check Point Software Technologies, [email protected].
Haastattelupyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.

Seuraa Check Point Researchia:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch