Alamy / AOP
22:10 - 14.02.2021 / viihde / Findance
Check Point Research: Emotet yhä hallitsevin haittaohjelma haltuunotosta huolimatta

Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut tammikuun haittaohjelmakatsauksensa.

Tutkijoiden mukaan Emotet-troijalainen on säilyttänyt asemansa haittaohjelmalistan kärjessä toista kuukautta peräkkäin. Sitä on esiintynyt kuudessa prosentissa organisaatioista maailmanlaajuisesti huolimatta kansainvälisestä poliisioperaatiosta, joka otti botnet-verkon haltuunsa 27. tammikuuta. Lainvalvontaviranomaiset aikovat massapoistaa Emotetin saastuneista tietokoneista 25. huhtikuuta.

Poliisioperaation jälkeen Emotetia on esiintynyt yritysverkoissa 14 prosenttia aiempaa vähemmän. Silti se säilytti kärkisijansa globaalilla haittaohjelmalistalla, mikä kertoo bottiverkon valtavasta maailmanlaajuisesta vaikutuksesta. Emotetin roskapostikampanja käyttää haittaohjelman levittämiseksi useita tekniikoita, kuten upotettuja linkkejä, asiakirjaliitteitä ja salasanasuojattuja Zip-tiedostoja.

Emotet tunnistettiin ensimmäisen kerran vuonna 2014, ja sen kehittäjät päivittivät sitä säännöllisesti ylläpitääkseen sen tehokkuutta. On arvioitu, että jokaisen Emotetiin liittyvän haittatapahtuman jälkien korjaaminen maksaa organisaatioille yli miljoona dollaria.

”Emotet on yksi eniten kustannuksia aiheuttavista ja tuhoisimmista haittaohjelmavarienteista, joten lainvalvontaviranomaisten yhteisponnistus sen poistamiseksi oli välttämätöntä ja valtava saavutus”, sanoo Check Pointin Maya Horowitz, Director, Threat Intelligence & Research, Products.

”Sen tilalle syntyy kuitenkin väistämättä uusia haittaohjelmia, joten organisaatioiden on yhä varmistettava, että niillä on vankat tietoturvajärjestelmät verkkojen suojaamiseksi. On ensiarvoisen tärkeää kouluttaa työntekijät tunnistamaan haitallisia sähköpostityyppejä, jotka levittävät viekkaita troijalaisia ja botteja”, hän jatkaa.

Suomessa Emotet on jo kadonnut haittaohjelmien top10-listalta. Vielä joulukuussa se oli listalla ensimmäisenä, ja sitä esiintyi lähes viidessä prosentissa maan yritysverkoista.


Suomen yleisimmät haittaohjelmat tammikuussa 2021:

TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 3,77 %.

XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,35 %.

GandCrab – Palveluna myytävä kiristyshaitake (ransomware-as-a-service), jonka kehittäjät ottavat kiristystuloista 30–40 prosenttia. Sen arvioidaan vaikuttaneen yli 1,5 miljoonaan Windows-käyttäjään ennen toiminnan pysähtymistä vuonna 2019. Kaikille GandCrab-versioille on olemassa salauksen purkutyökalut. Esiintyvyys 2,51 %.

Phoerpiex – (aka Trik) Bottiverkko, joka levittää muita haittaohjelmia roskapostikampanjoiden avulla. Tunnettu pornokiristysviestien lähettäjänä. Esiintyvyys 2,09 %.

FritzFrog – Hienostunut P2P-vertaisverkko, joka on murtautunut aktiivisesti SSH-palvelimiin ympäri maailmaa. Esiintyvyys 2,09 %.

Ryuk –Kiristyshaittaohjelma, jota on käytetty kohdennettuihin ja hyvin suunniteltuihin hyökkäyksiin organisaatioihin ympäri maailmaa. Se salaa tietokoneisiin, palvelimiin ja datakeskuksiin tallennettuja tiedostoja ja pyytää tietojen vapauttamisesta isoja, jopa 320 000 dollarin lunnaita bitcoineissa. Esiintyvyys 1,26 %.

NJRat – Etäyhteystroijalainen, suunnattu lähinnä Lähi-idän valtioiden virastoihin ja järjestöihin. Ensimmäistä kertaa vuonna 2012 tavattu troijalainen tallentaa uhrin näppäinpainalluksia, käyttää kameraa, varastaa selaimiin tallennettuja tietoja, lataa ja lähettää tiedostoja jne. Esiintyvyys 1,26 %.

QBot – (aka Qakbot) Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,26 %.

Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,26 %.

Sodinokibi – Ensimmäistä kertaa vuonna 2019 havaittu, palveluna myyty kiristyshaittaohjelma (ransomware-as-a-service). Esiintyvyys 1,26 %.


Maailman yleisimmät haittaohjelmat ja haavoittuvuudet tammikuussa 2021:

Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 6 % maailmanlaajuisesti.

Phoerpiex – (aka Trik) Bottiverkko, joka levittää muita haittaohjelmia roskapostikampanjoiden avulla. Tunnettu pornokiristysviestien lähettäjänä. Esiintyvyys 4 %.

Trickbot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 4 %.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli tammikuussa Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia. Toiseksi yleisin oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta ja asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli Android-laitteiden takaovi Triada, joka myöntää superkäyttäjäoikeudet ladattuihin haittaohjelmiin.

Check Pointin tutkijat listasivat myös tammikuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään ”MVPower DVR Remote Code Execution” on yritetty hyödyntää 43 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli ”HTTP Headers Remote Code Execution (CVE-2020-13756)”, jonka esiintyvyys oli 42 %. Kolmannella sijalla oli “Dasan GPON Router Authentication Bypass (CVE-2018-10561)”, esiintyvyys 41 %.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.