Yleisimmät haittaohjelmat Suomessa ja maailmalla – Pankkihaitake Qbot yhä ykkönen, Android-käyttäjien kiusana Anubis

Check Point Software kertoo heinäkuun haittaohjelmakatsauksessaan, että Suomen ja maailman yleisin kyberkiusa oli Qbot-pankkitroijalainen, ja mobiilihaitake Anubis syrjäytti SpinOK:n. Pohjoismaissa ja Euroopassa hyökkäysten kohteena olivat useimmin julkiset palvelut, kuljetusalan organisaatiot ja ohjelmistotoimittajat.

ESPOO – 10. elokuuta 2023 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut heinäkuun 2023 haittaohjelmakatsauksensa.

Tietoturvatutkijat kertovat, että Remcos-pankkitroijalainen nousi heinäkuussa maailman kolmanneksi yleisimmäksi haittaohjelmaksi sen jälkeen, kun kyberrikolliset loivat väärennettyjä verkkosivustoja levittääkseen etäkäyttötroijalaisen sisältäviä haitallisia latausohjelmia. Samalla Anubis syrjäytti suhteellisen uuden tulokkaan, SpinOK:n, yleisimpien mobiilihaittaohjelmien kärkipaikalta.

Remcos on etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Sitä levitetään säännöllisesti Microsoftin haitallisten asiakirjojen tai latausohjelmien kautta. Viimeksi se on havaittu kampanjassa, johon liittyy Fruity-haittaohjelman latausohjelma. Tavoitteena oli houkutella uhrit lataamaan Fruity-latausohjelma, joka lopulta asentaa erilaisia RAT-haittaohjelmia, kuten Remcosin. Se kykenee saamaan etäyhteyden uhrin järjestelmään, varastamaan arkaluontoista tietoa ja tunnistetietoja sekä suorittamaan haitallista toimintaa käyttäjän tietokoneella.

”Tämä vuodenaika on täydellinen kyberrikollisille. Monet käyttävät hyväkseen sitä, että organisaatioissa on vähemmän henkilöstöä lomakaudella, mikä voi vaikuttaa niiden kykyyn seurata uhkia ja minimoida riskit”, sanoo VP Research Maya Horowitz Check Point Softwarelta. ”Automatisoitujen ja konsolidoitujen tietoturvaprosessien käyttöönotto, henkilöstön koulutuksen lisäksi, voi auttaa yrityksiä ylläpitämään hyviä käytäntöjä myös loma-aikana.”

Koulutus- ja tutkimusala oli heinäkuussa eniten hyökkäysten kohteena oleva toimiala maailmanlaajuisesti. Pohjoismaissa ja Euroopassa hyökkäysten kohteena olivat useimmin julkiset palvelut, kuljetusalan organisaatiot ja ohjelmistotoimittajat.

Suomen yleisimmät haittaohjelmat heinäkuussa 2023:

1. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 2,43 %.
2. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 1,21 %.
3. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 1,21 %.
4. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 0,81 %.
5. –10. Injuke, AsyncRat, BlackByte, Crackonosh, Cryptonite, Cutwail – Kaikkien esiintyvyys 0,40 %.

Maailman yleisimmät haittaohjelmat heinäkuussa 2023:

1. Qbot (eli Qakbot) – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 5 %.
2. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 4 %.
3. Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 2 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli SpinOK, Android-laitteiden ohjelmamoduuli, joka on koodattu vakoiluohjelmaksi. Se kerää tietoja laitteelle tallennetuista tiedostoista ja pystyy välittämään niitä kyberrikollisille. Toukokuuhun 2023 mennessä haittaohjelma oli löydetty jo yli sadasta Android-sovelluksesta ja se oli ladattu laitteille 421 000 000 kertaa. Kolmantena oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa.

Check Pointin tutkijat listasivat myös heinäkuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Servers Malicious URL Directory Traversal”, jota on yritetty hyödyntää 49 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution (CVE-2021-44228)”, ja sen esiintyvyys oli 45 prosenttia. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)”, jonka esiintyvyys oli 42 prosenttia.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: July 2023’s Most Wanted Malware: Remote Access Trojan (RAT) Remcos Climbs to Third Place while Mobile Malware Anubis Returns to Top Spot

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software Technologies, [email protected], p. 0400 411 530.

Haastattelu- ja kuvapyynnöt:

Päivi Savolainen, viestintäkonsultti, OSG Viestintä, [email protected], p. 050 441 6068.

Seuraa Check Point Researchia:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch