Tietoturvatutkijat ovat havainneet Phorpiex-bottiverkon kampanjan, jossa kiristyshaittaohjelmia levitettiin miljoonien tietojenkalastelusähköpostien välityksellä. Lockbit3-kiristysryhmä on lyhyen tauon jälkeen aktivoitunut uudelleen, ja toukokuussa jo kolmasosa julkaistuista kiristyshyökkäyksistä oli sen käsialaa.

Tutkijat havaitsivat toukokuussa Phorpiex-bottiverkon toteuttaman haittaohjelmia levittävän roskapostikampanjan. Siinä miljoonat lähetetyt tietojenkalastelusähköpostiviestit sisälsivät LockBit Black -haittaohjelman, joka perustuu LockBit3:een, mutta ei ole sidoksissa kyseiseen kiristysohjelmaryhmään. Varsinainen LockBit3-ryhmä aktivoitui uudelleen lyhyen tauon jälkeen, kun lainvalvontaviranomaiset olivat tehneet iskun sitä vastaan. Kiristysryhmän osuus julkaistuista hyökkäyksistä oli toukokuussa 33 prosenttia.

Phorpiex-bottiverkon alkuperäiset operaattorit lopettivat toimintansa ja myivät lähdekoodin elokuussa 2021. Kuitenkin joulukuussa 2021 Check Point Research (CPR) havaitsi, että se oli noussut uudelleen esiin Twizt-nimisenä varianttina, joka toimii hajautetussa vertaisverkkomallissa. Tämän vuoden huhtikuussa New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) löysi todisteita siitä, että Phorpiex-bottiverkkoa käytettiin miljoonien tietojenkalastelusähköpostien lähettämiseen osana LockBit3-kampanjaa. Sähköpostien sisältämät ZIP-liitteet käynnistivät kiristyshaittaohjelman salausprosessin, kun niiden sisältämät haitalliset .doc.scr-tiedostot suoritettiin. Kampanjassa käytettiin yli 1 500 yksilöllistä IP-osoitetta, pääasiassa Kazakstanista, Uzbekistanista, Iranista, Venäjältä ja Kiinasta.

Kaksinkertaista kiristystä käyttävät haittaohjelmaryhmät julkaisevat niin kutsutuilla ”häpeäsivustoilla” maksusta kieltäytyneiden uhrien tietoja heitä painostaakseen. Toukokuussa LockBit3 vahvisti jälleen valta-asemaansa kiristysryhmien kärjessä, ja sitä seurasivat Inc. Ransom – ja Play-nimiset ryhmät. Inc. Ransom otti hiljattain vastuun suuresta verkkohyökkäyksestä, joka häiritsi julkisia palveluja Leicesterin kaupunginvaltuustossa Isossa-Britanniassa, ja sen väitetään varastaneen yli kolme teratavua tietoja ja aiheuttaneen laajamittaisen järjestelmän alasajon.

“Vaikka lainvalvontaviranomaiset onnistuivat tilapäisesti häiritsemään LockBit3-ryhmän toimintaa paljastamalla yhden sen johtajista ja liittolaisista sekä vapauttamalla yli 7 000 LockBit-purkuavainta, tämä ei vielä riitä poistamaan uhkaa kokonaan. Ei ole yllättävää, että he ryhmittyvät uudelleen ja käyttävät uusia taktiikoita toiminnan jatkamiseksi,” sanoo VP Resarch Maya Horowitz Check Point Softwarelta.

“Kiristysohjelmat ovat yksi kyberrikollisten eniten häiriötä aiheuttavista hyökkäysmenetelmistä. Kun he ovat tunkeutuneet verkkoon ja hankkineet tietoja, uhrin vaihtoehdot ovat rajalliset, etenkin jos vaadittuja lunnaita ei ole varaa maksaa. Siksi organisaatioiden on oltava valppaina riskien suhteen ja laitettava ennaltaehkäisevät toimenpiteet etusijalle,” hän jatkaa.

Suomen yleisimmät haittaohjelmat toukokuussa 2024:

1. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 2,60 %.
2. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 2,16 %.
3. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 1,30 %.
4. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana ja on ollut aktiivinen vuodesta 2014 lähtien. Se voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin, kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook. AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 1,30 %.
5. AsyncRat – Windows-troijalainen, joka lähettää tietoja kohdejärjestelmästä etäpalvelimelle. Se voi muun muassa ladata ja suorittaa laajennuksia, päivittää itsensä ja ottaa kuvakaappauksia. Esiintyvyys 1,30 %.
6. CoinLoader – Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia, usein liittyen kryptovaluutan louhintaan tai muuhun rikolliseen toimintaan. Esiintyvyys 1,30 %.
7. Vidar – Windows-käyttöjärjestelmiin kohdistuva tietovaras (Infostealer), joka havaittiin ensimmäisen kerran vuonna 2018. Vidar on suunniteltu muun muassa varastamaan salasanoja, luottokorttitietoja ja muita arkaluonteisia tietoja verkkoselaimista ja digitaalisista lompakoista. Esiintyvyys 0,87 %.
8. Anubis – Pankki- ja etäkäyttötroijalainen, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Esiintyvyys 0,87 %.
9. Injuke – Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Kun troijalainen on injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 0,87 %.
10. CrimsonRat – Java-ohjelmointikielellä toteutettu etähallintatyökalu, joka piiloutuu luotettavalta vaikuttavaan tiedostoon. Tämä RAT leviää roskapostikampanjoiden avulla, jotka sisältävät haitallisia Microsoft Office -dokumentteja. CrimsonRat voi hallita tartunnan saaneita tietokoneita ja suorittaa erilaisia haitallisia toimintoja. Esiintyvyys 0,87 %.

Maailman yleisimmät haittaohjelmat toukokuussa 2024:

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 7 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tiedot, SMTP-tunnukset ja AWS-avaimen. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen ja sen erilaiset variantit etsivät eri tietoja. Esiintyvyys 5 %.
3. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.

Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.

Viime kuussa maailmanlaajuisesti eniten hyödynnetyt haavoittuvuudet olivat “Command Injection Over http”, joka vaikutti 50 prosenttiin organisaatioista maailmanlaajuisesti, “Web Servers Malicious URL Directory Traversal” (47 %) sekä “Apache Log4j Remote Code Execution” (46 %).

Maailmanlaajuisesti useimmin hyökkäysten kohteeksi joutuneet toimialat olivat koulutus/tutkimus, valtionhallinto/puolustusvoimat ja viestintäala. Pohjoismaissa hyökätyimmät toimialat olivat viestintäala, valtionhallinto/puolustusvoimat sekä terveydenhuolto.

Johtavat kiristysryhmät toukokuussa 2024:

Osion tiedot pohjautuvat niin kutsuttuihin “häpeäsivustoihin”, joilla kaksoiskiristysryhmät julkaisevat maksusta kieltäytyneiden uhriensa tietoja heitä painostaakseen. Toukokuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 33 prosentista kaikista ilmoitetuista tapauksista. Sitä seurasivat Inc. Ransom (2 %) ja Play (5 %).

1. LockBit3 – Kiristysohjelma toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
2. Inc. Ransom – Heinäkuussa 2023 ilmestynyt kiristysoperaatio, jossa spear phishing -hyökkäykset kohdistuvat haavoittuviin palveluihin. Ryhmän pääkohteina ovat organisaatiot Pohjois-Amerikassa ja Euroopassa useilla eri aloilla, kuten terveydenhuollossa, koulutuksessa ja julkishallinnossa.
3. Play – Kiristysohjelma, joka havaittiin ensimmäisen kerran kesäkuussa 2022, ja on kohdistunut laajaan joukkoon yrityksiä ja kriittistä infrastruktuuria Pohjois-Amerikassa, Etelä-Amerikassa ja Euroopassa. Play-kiristysohjelmat pääsevät yleensä verkkoihin vaarantuneiden tilien kautta tai hyödyntämällä korjaamattomia haavoittuvuuksia.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: May 2024’s Most Wanted Malware: Phorpiex Botnet Unleashes Phishing Frenzy While LockBit3 Dominates Once Again

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.