Check Point Software kertoo lokakuun haittaohjelmakatsauksessaan, että AgentTesla leviää nyt uuden, marraskuussa vilkastuvaa verkkokaupan sesonkia hyödyntävän sähköpostikampanjan kautta. Lokakuussa kyberhyökkäysten kohteena oli Pohjoismaissa useimmin pankki- ja rahoitusala, Euroopan laajuisesti terveydenhuolto.
Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut lokakuun 2023 haittaohjelmakatsauksensa.
Tietoturvatutkijat kertovat, että viime kuussa maailman toiseksi yleisemmäksi haittaohjelmaksi nousi etäkäyttötroijalainen (RAT) NJRat, jonka kohteena ovat valtion virastot ja organisaatiot Lähi-idässä. Tutkijat kertovat myös uudesta haitallisesta sähköpostikampanjasta, jossa on mukana toinen kehittynyt RAT, AgentTesla.
AgentTesla-haittaohjelmaa levitettiin arkistotiedostoissa, jotka sisälsivät haitallisen Microsoft Compiled HTML Help (.CHM) -laajennuksen. Tiedostoja jaettiin sähköpostitse .GZ- tai .zip-liitteinä, ja niiden nimet viittasivat äskettäin tehtyihin tilauksiin ja toimituksiin, kuten ‘po-######.gz’ tai ‘shipping documents.gz’. Tarkoituksena oli houkutella uhreja lataamaan haittaohjelma. Asennettuna AgentTesla pystyy tallentamaan näppäilyn, kaappaamaan leikepöydän tiedot, pääsemään käsiksi tiedostojärjestelmään ja siirtämään varastettuja tietoja huomaamatta komento- ja hallintapalvelimelle.
”Meillä ei ole varaa jättää huomiotta taktiikoita, joita hakkerit käyttävät haittaohjelmien levittämiseen, kuten tuttujen tuotemerkkien jäljittely tai haittaohjelmien levittäminen sähköpostitse. Kun marraskuussa alkaa kiireinen ostoskausi, on tärkeää pysyä valppaana ja muistaa, että verkkorikolliset käyttävät aktiivisesti hyväkseen lisääntynyttä kiinnostustamme verkko-ostoksiin ja -toimituksiin”, sanoo VP Research Maya Horowitz Check Point Softwarelta.
Koulutus- ja tutkimusala oli lokakuussa maailmanlaajuisesti useimmin hyökkäysten kohteena oleva toimiala. Sitä seurasivat viestintäala sekä valtionhallinto/puolustusvoimat. Euroopan laajuisesti kärkisijalla oli terveydenhuolto. Pohjoismaissa hyökkäysten kohteena oli useimmin pankki- ja rahoitusala, jota seurasivat valtionhallinto/puolustusvoimat ja IT-palveluntarjoajat (ISP/MSP).
Suomen yleisimmät haittaohjelmat lokakuussa 2023:
- Zegost – Windows-alustalle suunnattu takaovi. Haittaohjelma mahdollistaa tartunnan saaneen isäntäjärjestelmän luvattoman etäkäytön. Esiintyvyys 1,69 %.
- Cuba – C++-pohjainen kiristyshaittaohjelma, joka kohdistuu Windows-järjestelmiin. Esiintyvyys 1,69 %.
- Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,69 %.
- Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta. Kun haittaohjelma on onnistuneesti lisätty, se salaa uhrin tietokoneella olevat tiedot tai estää työkalua toimimasta oikein sekä esittää samalla lunnasvaatimuksen. Esiintyvyys 0,84 %.
- SysJoker – SysJoker on monialustainen takaovi, joka kohdistuu Windowsiin, Maciin ja Linuxiin. Esiintyvyys 0,84 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 0,84 %.
- AsyncRat – Windows-troijalainen, joka lähettää tietoja kohdejärjestelmästä etäpalvelimelle. Se voi muun muassa ladata ja suorittaa laajennuksia, päivittää itsensä ja ottaa kuvakaappauksia. Esiintyvyys 0,84 %.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 0,84 %.
- Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 0,84 %.
- Proslikefan – Mato, joka kohdistuu JavaScriptiä tukeviin Windows-järjestelmiin. Haittaohjelma yrittää levitä verkkojakojen, siirrettävien asemien ja vertaisohjelmien kautta. Se yrittää lähettää järjestelmätietoja etäpalvelimelle ja saattaa ladata konfiguraatiotietoja tai tiedostoja etäpalvelimelta. Esiintyvyys 0,42 %.
Maailman yleisimmät haittaohjelmat lokakuussa 2023:
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 3 %.
- NJRat – Monipuoliset toiminnot omaava etäohjaustroijalainen, jonka uhreina on ollut valtiollisia toimijoita ja organisaatioita etenkin Lähi-Idässä. Esiintyvyys 2 %.
- Remcos – Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 2 %.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Haittaohjelma pystyy keräämään uhrin laitteelta henkilötietoja sekä tallentamaan näppäilyjä, ottamaan ruutukaappauksia, lähettämään tekstiviestejä ja käyttämään kameraa. Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja.
Check Pointin tutkijat listasivat myös lokakuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli Zyxel ZyWALL Command Injection (CVE-2023-28771), jota on yritetty hyödyntää 42 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086), ja sen esiintyvyys oli 42 prosenttia. Kolmannella sijalla oli Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260), jonka esiintyvyys oli 42 prosenttia.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista: October 2023’s Most Wanted Malware: NJRat Jumps to Second Place while AgentTesla Spreads through new File Sharing Mal-Spam Campaign
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.