kenttä muuttuu, kun tekoälypohjaiset haittaohjelmat valtaavat alaa, kertoo Check Point Softwaren tuore tutkimus. Silti Suomen ja koko maailman yleisin haittaohjelma syyskuussa oli edelleen FakeUpdates, joka on kirjoitetty JavaScriptillä.

Check Pointin tietoturvatutkijat ovat havainneet, että verkkohyökkääjät ovat todennäköisesti käyttäneet tekoälyä kehittääkseen skriptin, joka levittää AsyncRAT-haittaohjelmaa. Tämä haittaohjelma on nyt noussut kymmenenneksi yleisimpien haittaohjelmien listalla. Hyökkäyksessä käytettiin HTML-smuggling-tekniikkaa, jossa salasanasuojattu ZIP-tiedosto haitallisella VBScript-koodilla lähetettiin käynnistämään tartuntaketju uhrin laitteella.

Hyvin jäsennelty ja kommentoitu koodi viittaa tekoälyn käyttöön. Kun skripti suoritettiin, AsyncRAT asentui laitteelle, mikä antoi hyökkääjälle mahdollisuuden tallentaa näppäinpainalluksia, hallita laitetta etänä ja asentaa muita haittaohjelmia. Tämä havainto korostaa kasvavaa trendiä, jossa myös rajoitetut tekniset taidot omaavat kyberrikolliset pystyvät tekoälyn avulla kehittämään haittaohjelmia entistä helpommin.

”Se, että hyökkääjät ovat alkaneet hyödyntää generatiivista tekoälyä hyökkäysinfrastruktuurissaan, osoittaa kyberhyökkäystaktiikoiden jatkuvan kehittymisen. Kyberrikolliset hyödyntävät yhä enemmän saatavilla olevia teknologioita tehostaakseen toimintaansa”, arvio Check Point Softwaren tutkimusjohtaja Maya Horowitz ilmiötä.

Silti Joker säilytti asemansa maailman yleisimpänä mobiilihaittaohjelmana, ja RansomHub jatkoi johtavana kiristyshaittaohjelmaryhmänä, mikä osoittaa niiden olevan edelleen merkittävä uhka kyberturvallisuuden muuttuvalla kentällä.

Maailmanlaajuisesti eniten hyökkäysten kohteeksi joutuneet toimialat olivat koulutus ja tutkimus, valtionhallinto ja puolustusvoimat sekä terveydenhuolto.

Suomen yleisimmät haittaohjelmat syyskuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa.
4. Joker – Google Playssa oleva Android-vakoiluohjelma, joka on suunniteltu varastamaan tekstiviestejä, yhteystietoja ja laitetietoja. Lisäksi haittaohjelma rekisteröi uhrin huomaamattomasti maksullisiin palveluihin mainossivustoilla.
5. Phorpiex – Bottiverkko (tunnetaan myös nimellä Trik), joka on ollut aktiivinen vuodesta 2010 lähtien. Se tunnetaan muiden haittaohjelmaperheiden levittämisestä roskapostikampanjoiden kautta sekä laajamittaisten roskaposti- ja pornokiristyskampanjoiden vauhdittamisesta. .
6. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä.
7. Zergeca – Kehittynyt, Golang-kielellä kirjoitettu bottiverkko, joka on ensisijaisesti suunniteltu suorittamaan hajautettuja palvelunestohyökkäyksiä (DDoS) ja kykenee hyödyntämään useita hyökkäysmenetelmiä.
8. Raspberry Robin – Mato, joka ilmaantui ensimmäisen kerran syyskuussa 2021. Se leviää ensisijaisesti tartunnan saaneiden USB-asemien kautta ja on tunnettu kehittyneistä tekniikoistaan, joiden avulla se pystyy välttämään havaitsemisen ja pysymään vaarantuneissa järjestelmissä.
9. KrustyLoader – KrustyLoader on Rust-kielellä kehitetty haittaohjelma, joka on suunniteltu lataamaan Cobalt Strikea muistuttavan Sliver-hyökkäystyökalun. Se hyödyntää kahta hiljattain paljastettua nollapäivähaavoittuvuutta, CVE-2024-21887 ja CVE-2023-46805, jotka löytyvät Ivantin etäkäyttöön tarkoitetusta VPN-ohjelmistosta.
10. NJRat – Etähallintatroijalainen (tunnetaan myös nimellä Bladabindi), jonka on kehittänyt M38dHhM-hakkeriryhmä ja joka havaittiin ensimmäisen kerran vuonna 2012. Sitä on käytetty pääasiassa Lähi-idässä, ja kohteina ovat olleet erityisesti valtiolliset toimijat ja organisaatiot.

Kuvituskuva: Checkpoint