Kiristetäänkö sinua sähköpostiviesteillä

Yksi maailman tunnetuimmista ja pitkäikäisimmistä haittaohjelmista, Phoerpiex-bottiverkko, on nyt myös maailman yleisin. Sitä esiintyi marraskuussa yli kahdeksassa prosentissa Suomen yritysverkoista, luvun ollessa maailmanlaajuisesti neljä prosenttia.

Phoerpiex tunnetaan parhaiten levittämistään pornokiristysviesteistä, joita moni suomalainenkin on saanut sähköpostiinsa. Niissä väitettiin, että vastaanottaja on katsonut laitteellaan pornoa, ja uhri uhattiin paljastaa tuttavilleen. Bottiverkko on tehnyt myös monenlaista muuta kiusaa kryptovaluutan louhinnasta kiristysohjelmien levitykseen roskapostiviestien välityksellä. Viestejä lähetetään rikollisten toimesta kenelle tahansa.

Phoerpiex levittää jälleen Avaddon-kiristyshaittaohjelmaa. Sitä myydään kyberrikollispiireissä avaimet käteen -palveluna (RaaS, Ransomware as a Service). Ohjelma salaa tietokoneen sisällön ja pyytää lunnaita palkkioksi sisällön avaamisesta. Avaddonia on levitetty JS- ja Excel-tiedostojen kautta osana roskapostikampanjoita, ja se pystyy salaamaan monenlaisia tiedostotyyppejä.

Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on laskenut, että parhaimmillaan Phorpiex-tartunnan saaneita tietokoneita oli maailmassa yli miljoona.

– Phorpiex on yksi vanhimmista ja itsepintaisimmista botnet-verkoista, ja sitä on käytetty useiden vuosien ajan muiden haittaohjelmien, kuten GandCrab- ja Avaddon-kiristysohjelmien levittämiseen ja pornokiristyshuijauksiin. Uusi tartunta-aalto osoittaa, kuinka tehokas työkalu Phorpiex on, kertoo Check Pointin Suomen maajohtaja Sampo Vehkaoja.

Yritysten ja organisaatioiden tulisi opastaa henkilöstöään tunnistamaan yleisimmät haittaohjelmia sisältävät roskapostilajit ja olemaan varovaisia tuntemattomien liitteiden avaamisesta sähköposteissa, vaikka ne näyttäisivät olevan luotetusta lähteestä. Tärkeää on myös suojata tietoverkko tartunnoilta ajan tasalla olevalla, monikerroksisella tietoturvaratkaisulla.

Suomessa Phorpiex oli marraskuun toiseksi yleisin haittaohjelma, ja sitä esiintyi noin 8,5 prosentissa yritysverkoista. Suomen listakärjessä oli Android-haittaohjelma Hiddad, esiintyvyys noin 11,5 prosenttia.

Yleisimmät haittaohjelmat Suomessa marraskuussa

1. Hiddad – Android-haittaohjelma, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia, mutta pystyy myös nappaamaan puhelimen käyttäjätietoja. Esiintyvyys Suomessa 11,49 %.
2. Phorpiex – (a.k.a Trik) Bottiverkko, joka levittää muita haittaohjelmia roskapostikampanjoiden avulla. Tunnettu pornokiristysviestien lähettäjänä. Esiintyvyys 8,51 %.
3. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 3,83 %.
4. RigEK – Haittaohjelmien lataaja Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksissa. Esiintyvyys 2,55 %.
5. Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2,55 %.
6. TrickBot – Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma. Esiintyvyys 2,13 %.
7. Floxif – Windows-järjestelmän haittaohjelma, joka kerää tietoja tartutetuista järjestelmistä. Tunnettu laajasta kampanjasta vuonna 2017, jolloin Floxif oli mukana CCleaner-sovelluksessa ja tartutti yli 2 miljoonaa käyttäjää, mm. teknologiajätit Google, Microsoft , Cisco ja Intel. Esiintyvyys 1,70 %.
8. Remcos – Jakaa haittaohjelmia roskaposteihin liitettyjen Microsoft Office -asiakirjojen kautta. Esiintyvyys 1,70 %.
9. Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään nykyään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 1,70 %.
10. Vidar, Sodinokibi, Bonzo, Facexworm, Shiz, FalloutEK – Kaikkien esiintyvyys 1,28 %.