Tietojenkalasteluun käytetään sähköpostia – älä lataa tuntemattomien liitteitä

Maailman yleisin haittaohjelma huhtikuussa oli toista kertaa peräkkäin Dridex-troijalainen. Toiseksi sijoittui Agent Tesla-troijalainen. Se sijoittui ensimmäistä kertaa näin korkealle yleisimpien haittaohjelmien listauksessa, selviää Check Point Software Technologies Ltd. -yhtiön julkaisemasta haittaohjelmakatsauksesta.

Windows-alustalle kohdennettu Dridex-troijalainen levisi huhtikuussa QuickBooks-roskapostikampanjoissa. Tietojenkalasteluun tarkoitetut sähköpostit käyttävät hyödyksi QuickBooksin brändiä ja yrittävät houkutella käyttäjiä väärennetyillä maksuilmoituksilla ja laskuilla. Sähköposti pyytää lataamaan haitallisen Microsoft Excel -liitteen, jonka kautta Dridex-troijalainen pääsee tietokoneelle.

Tätä haittaohjelmaa käytetään usein kiristysoperaation alkuvaiheessa. Hakkerit salaavat organisaation tiedot ja vaativat lunnaita salauksen purkamiseksi. Myös kaksinkertaisten kiristysmenetelmien käyttö on yleistynyt. Siinä hakkerit varastavat organisaatiolta arkaluontoisia tietoja ja uhkaavat tehdä niistä julkisia, ellei maksua suoriteta. Kiristyshaittaohjelmien hyökkäykset olivat kasvaneet 57 prosenttia vuoden 2021 alussa. Kasvu on pysynyt samansuuntaisena, ja viime vuoden vastaavaan ajanjaksoon verrattuna hyökkäykset ovat saavuttaneet jo 107 prosentin nousun. Esimerkiksi merkittävä yhdysvaltalainen polttoaineyhtiö Colonial Pipeline joutui tällaisen hyökkäyksen uhriksi. Ransomware-kiristysohjelmien arvioidaan maksaneen vuonna 2020 yrityksille noin 20 miljardia dollaria. Luku on lähes 75 prosenttia suurempi kuin vuonna 2019.

Agent Tesla sijoittui ensimmäistä kertaa toiseksi yleisimpien haittaohjelmien listalla. Agent Tesla on edistynyt etäkäyttötroijalainen (RAT), joka on ollut aktiivinen vuodesta 2014. Agent Teslaa on muokattu varastamaan kohdetietokoneilta WiFi-salasanoja muiden tietojen, kuten Outlook-sähköpostitietojen, lisäksi. Se pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Agent Tesla-roskapostikampanjat yleistyivät tässä kuussa. Niissä sähköposti pyytää lataamaan tietokoneelle liitetiedoston ja tartuttaa näin järjestelmän.

– Kiristyshyökkäykset kasvavat voimakkaasti maailmanlaajuisesti, joten ei ole yllätys, että yleisimmät haittaohjelmat liittyvät ilmiöön. Maailmassa keskimäärin 10 sekunnin välein joku organisaatio joutuu ransomware-hyökkäyksen uhriksi, sanoo Check Pointin johtaja Maya Horowitz.

Suomen yleisin haittaohjelma huhtikuussa oli Growtopia, jota esiintyi 4,5 prosentissa maan yritysverkoista maailmanlaajuisen esiintyvyyden ollessa 0,08. Toisella sijalla oli Trickbot. Agent Tesla ei yltänyt Suomen yleisimpien haittaohjelmien listalle.

Suomen yleisimmät haittaohjelmat huhtikuussa 2021

1. Growtopia – Esiintyvyys 4,56 %.
2. TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 3,32 %.
3. XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 2,90 %.
4. Gandcrap – Palveluna myytävä kiristyshaitake (ransomware-as-a-service), jonka kehittäjät ottavat kiristystuloista 30–40 prosenttia. Sen arvioidaan vaikuttaneen yli 1,5 miljoonaan Windows-käyttäjään ennen toiminnan pysähtymistä vuonna 2019. Kaikille GandCrab-versioille on olemassa salauksen purkutyökalut. Esiintyvyys 2,49 %.
5. Neshta – Troijalainen, joka havaittiin ensi kerran vuonna 2010. Piilottaa itsensä muiden ohjelmistojen koodin joukkoon ja pyrkii asentamaan selainlaajennuksia tai työkalurivejä omin päin. Esiintyvyys 2,07 %.
6. RigEK – Haittaohjelmien lataaja Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksissa. Esiintyvyys 2,07 %.
7. Sodinokibi – Ensimmäistä kertaa vuonna 2019 havaittu, palveluna myyty kiristyshaittaohjelma (ransomware-as-a-service). Esiintyvyys 1,24 %.
8. Arkei – Troijalainen, joka varastaa luottamuksellisia tietoja, kuten kirjautumistunnuksia. Esiintyvyys 1,24 %.
9. Lisäksi esiintyvyydeltään 0,83 % olivat haittaohjelmat DanaBot, Nanocore ja Guloader.

Maailman yleisimmät haittaohjelmat ja haavoittuvuudet huhtikuussa 2021

1. Dridex – Windows-laitteiden pankkitroijalainen, joka ohjaa uhrin pankkitiedot hyökkääjän hallitsemaan palvelimeen. Dridex ottaa yhteyttä etäpalvelimeen, lähettää tietoja tartunnan saaneesta järjestelmästä ja voi myös ladata ja suorittaa lisämoduuleja kauko-ohjausta varten. Esiintyvyys 15 %.
2. Agent Tesla – Edistyksellinen etäkäyttötroijalainen, joka pystyy esimerkiksi uhrinsa näppäinten painalluksia seuraamalla ja kuvakaappauksia ottamalla pääsemään käsiksi WiFi-salasanoihin ja muihin kohdelaitteen tietoihin (esimerkiksi Outlook-sähköposti, Google Chrome ja Mozilla Firefox). Esiintyvyys 12 %.
3. Trickbot –  Pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 8 %.

Mobiilihaittaohjelmien globaali lista
Ensimmäisenä oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Toisella sijalla oli Android-laitteiden takaovi Triada, joka myöntää käyttäjäoikeudet ladattuihin haittaohjelmiin. Kolmannella sijalla oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia.

Check Pointin tutkijat listasivat myös huhtikuun käytetyimmät haavoittuvuudet. Yleisintä haavoittuvuutta nimeltään “Web Server Exposed Git Repository Information Disclosure” on yritetty hyödyntää 46 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”HTTP Headers Remote Code Execution (CVE-2020-13756)” , jonka esiintyvyys oli 45,5 %. Kolmannella sijalla oli  “MVPower DVR Remote Code Execution”, jonka esiintyvyys oli 44 prosnettia.

Haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.