Tutkijat ovat havainneet uuden menetelmän, jolla Remcos (Remote Access Trojan, RAT) saastuttaa koneita.
Uutiset

Yleisimmät haittaohjelmat: Rotat palasivat ja hakkerit löysivät uuden tartuntaketjumenetelmän Remcos-etäkäyttötroijalaisen toimittamiseen

Tutkijat ovat havainneet uuden menetelmän, jolla Remcos (Remote Access Trojan, RAT) saastuttaa koneita. Tämä menetelmä ohittaa yleiset turvatoimet, mahdollistaen luvattoman pääsyn uhrien laitteisiin. Suomessa RAT-etäkäyttötroijalaiset, kuten AsyncRAT ja NJRat, palasivat yleisimpien haittaohjelmien top 10 -listalle, ja FakeUpdates nappasi kärkipaikan Suomen ykköshaitakkeena.

Maailman johtavan tekoäly- ja pilvipohjaisten kyberturvallisuusalustojen tarjoajan, Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut maaliskuun 2024 haittaohjelmakatsauksensa.

Check Pointin tutkijat saivat maaliskuussa selville, että hakkerit ovat käyttäneet Virtual Hard Disk (VHD) -tiedostoja Remote Access Trojan (RAT) Remcos-etäkäyttötroijalaisen toimittamiseen. VHD-tiedostoja käytetään muun muassa virtuaalikoneiden kiintolevyinä. Remcos havaittiin ensimmäisen kerran vuonna 2016. Se levisi aiemmin roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Remcos oli alun perin laillinen työkalu Windows-järjestelmien etähallintaan, mutta verkkorikolliset alkoivat pian hyödyntää työkalun kykyä tartuttaa laitteita, ottaa kuvakaappauksia, tallentaa näppäinpainalluksia ja lähettää kerättyjä tietoja nimetyille isäntäpalvelimille. Lisäksi tämä Remote Access Trojan (RAT) sisältää massapostitustoiminnon, jolla voidaan toteuttaa jakelukampanjoita, ja sen eri toimintoja voidaan käyttää bottiverkkojen luomiseen. Viime kuussa se nousi neljännelle sijalle globaalissa haittaohjelmalistauksessa.

“Hyökkäystaktiikoiden kehittyminen osoittaa, että kyberrikollisten strategiat kehittyvät jatkuvasti. Tämä korostaa organisaatioiden tarvetta priorisoida ennakoivia toimenpiteitä. Pysymällä valppaina, ottamalla käyttöön vankan päätelaitesuojauksen ja edistämällä kyberturvallisuusosaamista, voimme yhdessä vahvistaa puolustustamme kehittyviä kyberuhkia vastaan,” toteaa Maya Horowitz, VP Research Check Point Softwarelta.”

FakeUpdates-latausohjelma piti myös maaliskuussa sitkeästi kärkisijaa maailman ykköshaitakkeena, ja se nousi myös Suomen yleisimmäksi haittaohjelmaksi. Sen esiintyvyys kasvoi helmikuusta maaliskuuhun 1,38 prosentista peräti 3,4 prosenttiin. Myös nimellä SocGholish tunnettu FakeUpdates on ollut toiminnassa ainakin vuodesta 2017 lähtien. Se käyttää JavaScript-pohjaisia haittaohjelmia kohdistaakseen hyökkäyksiä verkkosivustoihin, erityisesti niihin, jotka käyttävät sisällönhallintajärjestelmiä. FakeUpdates-haittaohjelman tavoitteena on huijata käyttäjiä lataamaan haittaohjelmia.

Suomen yleisimmät haittaohjelmat maaliskuussa 2024:

  1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 3,40 %.
  2. Injuke – Troijalainen, joka leviää useimmiten phishing-sähköpostin välityksellä. Heti kun troijalainen on onnistuneesti injektoitu, se salaa käyttäjän kovalevyn tiedot ja näyttää ruudulla lunnasvaatimuksen, jossa vaaditaan maksun suorittamista asiakirjojen salauksen purkamiseksi tai tiedostojärjestelmän palauttamiseksi. Esiintyvyys 2,13 %.
  3. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,70 %.
  4. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 1,70 %..
  5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,85 %.
  6. AsyncRAT – Etäkäyttöön tarkoitettu troijalainen (RAT), joka kykenee valvomaan ja ohjaamaan tietokonejärjestelmiä huomaamattomasti etänä. Viime kuun kuudenneksi yleisin haittaohjelma käyttää piiloutumiseen ja prosessi-injektioiden toteuttamiseen useita eri tiedostomuotoja, kuten PowerShell ja BAT. Esiintyvyys 0,85 %.
  7. NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 0,85 %.
  8. Raspberry Robin – Kehittynyt mato, joka käyttää hyökkäyksissään laillisilta vaikuttavia, mutta tosiasiassa uhrien koneet saastuttavia USB-asemia. Esiintyvyys 0,85 %.
  9. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 0,85 %.
  10. Ducktail – PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Tietovaras ilmestyi uhkamaisemaan vuoden 2021 lopulla. Esiintyvyys 0,85 %.

Maailman yleisimmät haittaohjelmat maaliskuussa 2024:

  1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 6 %.
  2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.
  3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2 %.

Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva haitake, pankki- ja etäkäyttötroijalainen Anubis. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Uuten tulokkaana kolmanneksi listalle nousi pankkipalveluihin kohdistava etäkäyttötroijalainen Cerberus. Sen ominaisuuksiin kuuluvat muun muassa tekstiviestien hallinta, näppäinlokit, äänitallennus ja sijainninseuranta.

Johtavat kiristysryhmät maaliskuussa 2024:

Tämän uuden osion tiedot pohjautuvat lähes kahteen sataan kiristysryhmien ylläpitämään “häpeäsivustoon”. Nämä ryhmät käyttävät kaksoiskiristystä ja niistä 68 on tänä vuonna julkaissut uhriensa nimiä ja tietoja. Maaliskuussa eniten hyökkäyksiä tehnyt ryhmä oli LockBit3, joka oli vastuussa 12 prosentista kaikista ilmoitetuista tapauksista, seuraavana olivat Play 10 prosentilla ja 8Base 9 prosentilla.

  1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019. LockBit3 keskittyy iskuissaan suuriin yrityksiin ja julkishallinnon yksiköihin eri puolilla maailmaa, mutta välttää kohdistamasta toimintaansa henkilöihin Venäjällä tai Itsenäisten valtioiden yhteisön alueella.
  2. Play – Play-hakkeriryhmä käyttää kiristysohjelmistoa. Tällaiseksi luokiteltu haittaohjelma toimii enkryptaamalla tietoja ja vaatimalla lunnaita salauksen purkamiseksi.
  3. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022. Ryhmä nousi esiin vuoden 2023 keskivaiheilla lisääntyneen toimintansa ansiosta. 8Base on käyttänyt useita kiristysohjelmavariantteja, joista Phobos on yleisesti käytetty. Tämän ryhmän toiminta on kehittynyttä, ja se käyttää kaksoiskiristystaktiikkaa.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista:  March 2024’s Most Wanted Malware: Hackers Discover New Infection Chain Method to Deliver Remcos

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.