Tietoturvayhtiö Check Point Researchin mukaan maailman yleisin haitake oli maaliskuussa Emotet. Suomen yleisimpänä jatkoi Netwalker. Hyökkäyskohteista yleisimpiä Pohjoismaissa olivat valtionhallinto ja puolustusvoimat. Check Point varoitti nyt myös pääsiäisteemaisista tietojenkalasteluviesteistä.
Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) kertoo, että maailmanlaajuisesti Emotet jatkaa yleisimpänä haittaohjelmana maailmalla ja vaikuttaa joka kymmenessä organisaatiossa maailmanlaajuisesti.
Emotetin määrät ovat kaksinkertaistuneet helmikuuhun lukuihin verrattuna. Lisäksi pankkitroijalaista käytetään Check Pointin mukaan pääasiassa muiden haittaohjelmien levittämiseen. Se osaa väistellä virustutkia ja poistoyrityksiä ja pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta.
Emotetin bottiverkkoa ovat levittäneet useat aggressiiviset sähköpostikampanjat, kuten erilaiset pääsiäisaiheiset tietojenkalasteluhuijaukset. Ympäri maailmaa lähetettyjen sähköpostien aiheena on ollut esimerkiksi ”buona pasqua, hyvää pääsiäistä”, ja sähköpostin liitteenä on ollut haitallinen XLS-tiedosto Emotetin toimittamiseksi.
Maaliskuun toiseksi yleisin haittaohjelma oli Agent Tesla, edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinpainalluksia seuraamalla pääsemään käsiksi kohdelaitteen tietoihin. Agent Teslan nousu johtuu useista uusista, haitallisia xlsx-/pdf-tiedostoja levittävistä roskapostikampanjoista, joista osa on käyttänyt houkuttimena Ukrainan sotaa.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service), joka sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrin tileille ja lopulta koko laitteen hallinnan.
Check Pointin tutkijat listasivat myös maaliskuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Apache Log4j Remote Code Execution” (CVE-2021-44228)”, jota on yritetty hyödyntää 33 prosentissa yritysverkoista maailmanlaajuisesti.
Check Pointin mukaan eniten hyökkäyksiä kohdistui maailmanlaajuisesti maaliskuussa koulutus- ja tutkimusaloille, joita seurasivat valtionhallinto/puolustusvoimat ja ISP/MSP-palveluntarjoajat. Pohjoismaissa hyökkäyksiä kohdistui eniten hallintoon ja maanpuolustukseen, ja niitä seurasivat viestintä ja kuljetusala.
Suomen yleisimmät haittaohjelmat maaliskuussa 2022
Netwalker (tunnetaan myös nimellä Mailto) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen tietojenkalastelusähköpostien kautta. Esiintyvyys 7,36 %.
Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 3,03 %.
Glupteba – Vuonna 2011 löydetty takaovi, joka on vähitellen kehittynyt bottiverkoksi. Esiintyvyys 2,16 %.
Revenge RAT – Windows-troijalainen, joka hyväksyy komentoja etäkäyttöpalvelimelta ja voi mm. kerätä järjestelmätietoja, suorittaa/päivittää tiedoston linkistä tai levyltä, ladata lisäosia sekä sulkea/käynnistää uudelleen haittaohjelman. Esiintyvyys 2,16 %.
XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat usein väärinkäyttävät tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin suorittaakseen laitonta louhintaa uhrien laitteilla. Esiintyvyys 2,16 %.
Banload – Troijalainen, joka lataa ei-toivottuja tiedostoja etäpalvelimista uhrien koneeseen. Esiintyvyys 2,16 %.
Maailman yleisimmät haittaohjelmat maaliskuussa 2022
Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 10 %.
Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinpainalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 2 %.
XMRig – Monero-kryptovaluutan louhija. Uhkatoimijat usein väärinkäyttävät tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin suorittaakseen laitonta louhintaa uhrien laitteilla. Esiintyvyys 2 %.
Kuvituskuva: Check Point