Tutkijat ovat havainneet uuden menetelmän, jolla Remcos (Remote Access Trojan, RAT) saastuttaa koneita. Tämä menetelmä ohittaa yleiset turvatoimet, mahdollistaen luvattoman pääsyn uhrien laitteisiin. Suomessa RAT-etäkäyttötroijalaiset, kuten AsyncRAT ja NJRat, palasivat yleisimpien haittaohjelmien top 10 -listalle, ja FakeUpdates nappasi kärkipaikan Suomen ykköshaitakkeena.
ESPOO – 12. huhtikuuta 2024 – Maailman johtavan tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoajan, Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut maaliskuun 2024 haittaohjelmakatsauksensa.
Check Pointin tutkijat saivat maaliskuussa selville, että hakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remote Access Trojan (RAT) Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä. Remcos havaittiin ensimmäisen kerran vuonna 2016. Se levisi aiemmin roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Remcos oli alun perin laillinen työkalu Windows-järjestelmien etähallintaan, mutta verkkorikolliset alkoivat pian hyödyntää työkalun kykyä tartuttaa laitteita, ottaa kuvakaappauksia, tallentaa näppäinpainalluksia ja lähettää kerättyjä tietoja nimetyille isäntäpalvelimille. Lisäksi tämä Remote Access Trojan (RAT) sisältää massapostitustoiminnon, jolla voidaan toteuttaa jakelukampanjoita, ja sen eri toimintoja voidaan käyttää bottiverkkojen luomiseen. Viime kuussa se nousi neljännelle sijalle globaalissa haittaohjelmalistauksessa.
"Hyökkäystaktiikoiden kehittyminen osoittaa, että kyberrikollisten strategiat kehittyvät jatkuvasti. Tämä korostaa organisaatioiden tarvetta priorisoida ennakoivia toimenpiteitä. Pysymällä valppaina, ottamalla käyttöön vankan päätelaitesuojauksen ja edistämällä kyberturvallisuusosaamista, voimme yhdessä vahvistaa puolustustamme kehittyviä kyberuhkia vastaan,” toteaa Maya Horowitz, VP Research Check Point Softwarelta."
FakeUpdates-latausohjelma piti myös maaliskuussa sitkeästi kärkisijaa maailman ykköshaitakkeena, ja se nousi myös Suomen yleisimmäksi haittaohjelmaksi. Sen esiintyvyys kasvoi helmikuusta maaliskuuhun 1,38 prosentista peräti 3,4 prosenttiin. Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se käyttää JavaScript-pohjaisia haittaohjelmia kohdistaakseen hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.
Suomen yleisimmät haittaohjelmat maaliskuussa 2024:
Maailman yleisimmät haittaohjelmat maaliskuussa 2024:
Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva haitake, pankki- ja etäkäyttötroijalainen Anubis. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Uuten tulokkaana kolmanneksi listalle nousi pankkipalveluihin kohdistava etäkäyttötroijalainen Cerberus. Sen ominaisuuksiin kuuluvat muun muassa tekstiviestien hallinta, näppäinlokit, äänitallennus ja sijainninseuranta.
Johtavat kiristysryhmät maaliskuussa 2024:
Tämän uuden osion tiedot pohjautuvat lähes kahteen sataan kiristysryhmien ylläpitämään "häpeäsivustoon". Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Maaliskuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 12 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat Play 10 prosentilla ja 8Base 9 prosentilla.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: March 2024’s Most Wanted Malware: Hackers Discover New Infection Chain Method to Deliver Remcos
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.
Lisätiedot:
Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software Technologies, [email protected], p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.
Seuraa Check Pointia:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (https://www.checkpoint.com) on johtava tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoaja, joka suojaa yli 100 000 organisaatiota ympäri maailmaa. Check Point hyödyntää tekoälyn voimaa parantaakseen kyberturvallisuuden tehokkuutta ja tarkkuutta Infinity Platformin avulla. Sen alan johtavat havaitsemisprosentit mahdollistavat proaktiivisen uhkien ennakoinnin sekä älykkäämmät ja nopeammat reagointiajat. Kattavan alustan pilvipohjaisiin ratkaisuihin lukeutuvat Check Point Harmony työtilan suojaamiseen, Check Point CloudGuard pilven turvaamiseen, Check Point Quantum tietoverkon suojaamiseen ja Check Point Infinity Core Services yhteistyöhön perustuville tietoturvatoiminnoille ja -palveluille.
Check Point Research
Check Point Research (https://research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
© Koodiviidakko Oy - Y-tunnus 1939962-1