Check Point Software kertoo marraskuun haittaohjelmakatsauksessaan uudesta AsyncRAT-kampanjasta, jossa haittaohjelmaa levitettiin huomaamatta haitallisten HTML-tiedostojen avulla. Suomen yleisin haittaohjelma oli FakeUpdates, joka nousi marraskuussa pienen tauon jälkeen myös globaalille listalle sijalle kaksi. Hyökkäysten kohteena oli Pohjoismaissa useimmin pankki- ja rahoitusala, Euroopan laajuisesti valtionhallinto/puolustusvoimat ja globaalisti koulutusala.
ESPOO – 13. joulukuuta 2023 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut marraskuun 2023 haittaohjelmakatsauksensa.
Tietoturvatutkijat havaitsivat viime kuussa uuden AsyncRAT-kampanjan, jossa levitettiin piilotettuja haittaohjelmia haitallisten HTML-tiedostojen avulla. JavaScript-latausohjelma FakeUpdates puolestaan nousi Suomen yleisimmäksi ja maailman toiseksi yleisimmäksi haittaohjelmaksi oltuaan hetken poissa yleisimpien haitakkeiden globaalilta listalta.
AsyncRAT on etäkäyttöön tarkoitettu troijalainen (RAT), joka kykenee valvomaan ja ohjaamaan tietokonejärjestelmiä huomaamattomasti etänä. Viime kuun kuudenneksi yleisin haittaohjelma käyttää piiloutumiseen ja prosessi-injektioiden toteuttamiseen useita eri tiedostomuotoja, kuten PowerShell ja BAT. Viime kuun kampanjassa sähköpostien vastaanottajat saivat upotetun linkin sisältäneen viestin. Kun linkkiä napsautettiin, se käynnisti haitallisen HTML-tiedoston lataamisen ja tapahtumasarjan, jonka ansiosta haittaohjelma pystyi naamioitumaan luotettavaksi sovellukseksi ja välttämään havaitsemisen.
FakeUpdates-latausohjelma nousi marraskuussa uudelleen haittaohjelmien maailmanlaajuiseen kärkikymmenikköön kahden kuukauden tauon jälkeen. Suomen listalla se nousi ykköseksi lokakuun kolmannelta sijaltaan. JavaScriptillä kirjoitetun haittaohjelman jakelujärjestelmä hyödyntää vaarantuneita verkkosivustoja ja huijaa käyttäjiä suorittamaan väärennettyjä selainpäivityksiä. FakeUpdates on ollut syynä myös monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen.
”Marraskuun kyberuhat osoittavat, kuinka kyberrikolliset käyttävät näennäisen harmittomia menetelmiä verkkoihin tunkeutuakseen. AsyncRAT-kampanjan nousu ja FakeUpdatesin paluu kertovat suuntauksesta, jossa hyökkääjät ohittavat perinteiset suojaukset petollisen yksinkertaisin menetelmin. Tämä korostaa organisaatioiden tarvetta ottaa käyttöön kerroksellinen tietoturvastrategia, joka ei perustu vain tunnettujen uhkien havaitsemiseen, vaan jolla on myös kyky tunnistaa, estää ja reagoida uusiin hyökkäysvektoreihin ennen kuin ne ehtivät aiheuttaa vahinkoa”, sanoo VP Research Maya Horowitz Check Point Softwarelta.
Maailmanlaajuisesti useimmin hyökkäysten kohteena oleva toimiala oli koulutus- ja tutkimusala. Sitä seurasivat viestintäala sekä valtionhallinto/puolustusvoimat. Euroopan laajuisesti kärkisijalla olivat valtionhallinto/puolustusvoimat, terveydenhuolto ja koulutus/tutkimus. Pohjoismaissa hyökkäysten kohteena oli useimmin pankki- ja rahoitusala, jota seurasivat IT-palveluntarjoajat (ISP/MSP) sekä valtionhallinto/puolustusvoimat.
Suomen yleisimmät haittaohjelmat marraskuussa 2023:
Maailman yleisimmät haittaohjelmat marraskuussa 2023:
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli SpinOk, Android-laitteiden ohjelmamoduuli, joka on koodattu vakoiluohjelmaksi. Se kerää tietoja laitteelle tallennetuista tiedostoista ja pystyy välittämään niitä kyberrikollisille. Toukokuuhun 2023 mennessä haittaohjelma oli löydetty jo yli sadasta Android-sovelluksesta ja se oli ladattu laitteille 421 000 000 kertaa.
Check Pointin tutkijat listasivat myös marraskuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), jota on yritetty hyödyntää 45 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260), jonka esiintyvyys oli 42 prosenttia. Kolmannella sijalla oli Zyxel ZyWALL Command Injection (CVE-2023-28771), 41 prosenttia.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: November 2023’s Most Wanted Malware: New AsyncRAT Campaign Discovered while FakeUpdates Re-Entered the Top Ten after Brief Hiatus
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.
Lisätiedot:
Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software Technologies, [email protected], p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.
Haastattelu- ja kuvapyynnöt:
Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.
Seuraa Check Pointia:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch
Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (https://www.checkpoint.com) on johtava yritysten ja valtionhallinnon kyberturvallisuusratkaisujen tarjoaja globaalisti. Check Point Infinityn ratkaisuportfolio suojaa yrityksiä ja julkisia organisaatioita 5. sukupolven kyberhyökkäyksiltä alan johtavalla haittaohjelmien, kiristysohjelmien ja muiden hyökkäysten kiinnijäämisprosentilla. Infinity koostuu neljästä peruspilarista: Check Point Harmony etäkäyttäjille; Check Point CloudGuard pilven automaattiseen suojaamiseen; ja Check Point Quantum tietoverkkojen ja datakeskusten suojaamiseen. Näitä kaikkia hallitaan alan kattavimmalla ja intuitiivisimmalla yhtenäisellä hallintajärjestelmällä; Check Point Horizonilla, joka on tietoturvapoikkeamien ennaltaehkäisyyn tähtäävä ohjelmisto- ja palvelukokonaisuus. Check Point huolehtii yli 100 000 ison ja pienen yrityksen ja yhteisön tietoturvasta.
Check Point Research
Check Point Research (https://research.checkpoint.com) huolehtii siitä, että Check Pointin asiakkailla ja laajemmalla tietoturvayhteisöllä on käytettävissään paras mahdollinen tieto kyberturvallisuuden riskeistä. Tutkijaryhmä kerää ja analysoi ThreatCloud-verkkopalvelun tallentamat maailmanlaajuiset kyberhyökkäystiedot, jotta hakkerit pysyvät kurissa ja kaikki Check Pointin tuotteet pystytään päivittämään uusimmilla suojauksilla. Tutkijaryhmä koostuu yli 100 analyytikosta ja tutkijasta, jotka tekevät yhteistyötä muiden tietoturvayhtiöiden ja viranomaisten kanssa.
© Koodiviidakko Oy - Y-tunnus 1939962-1