Check Point Research kertoo haittaohjelmakatsauksessaan, että Emotet on noussut jo Suomen ja koko maailman toiseksi yleisimmäksi haittaohjelmaksi. Suomessa listaykkösenä on yhä Netwalker, globaalisti Trickbot. Apache Log4j on eniten hyödynnetty haavoittuvuus.
ESPOO – 12. tammikuuta 2022 – Maailman johtavan tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research (CPR) on julkaissut joulukuun 2021 haittaohjelmakatsauksensa. Tutkijat kertovat, että Apache Log4j -haavoittuvuuden leimatessa joulukuuta Trickbot säilytti sijansa maailman yleisimpänä haittaohjelmana. Sitä esiintyi noin 4 %:ssa maailman yritysverkoista. Suomessa kärkisijalla oli Netwalker, vaikuttaen yli 3 %:iin organisaatioista. Äskettäin elpynyt Emotet on noussut nopeasti seitsemänneltä sijalta toiselle sekä Suomessa että maailmalla. Toimialoista hakkerit hyökkäsivät globaalisti useimmin koulutus- ja tutkimusaloille, näin myös Euroopassa.
Käytetyintä haavoittuvuutta, ”Apache Log4j Remote Code Execution”, on yritetty hyödyntää 48,3 prosentissa yritysverkoista maailmanlaajuisesti. Se havaittiin ensimmäisen kerran 9. joulukuuta Apache logging package Log4j:ssä, joka on suosituin, useissa Internet-palveluissa ja -sovelluksissa käytetty Java logging library. Uusi vitsaus vaikutti hyvin lyhyessä ajassa lähes puoleen maailman yrityksistä. Hyökkääjät voivat hyödyntää haavoittuvia sovelluksia suorittaakseen kryptokaappausohjelmistoja ja muita haittaohjelmia vaarantuneissa palvelimissa. Toistaiseksi suurin osa hyökkäyksistä on keskittynyt kryptovaluutan louhintaan uhrien kustannuksella.
”Log4j hallitsi otsikoita joulukuussa ja syystäkin, koska se on yksi vakavimmista haavoittuvuuksista koskaan. Se on hyvin helppokäyttöinen ja sen paikkaaminen on niin monimutkaista, että siitä on todennäköisesti harmia vielä monen vuoden ajan. Yritysten tulee ryhtyä välittömiin toimiin hyökkäysten estämiseksi”, sanoo Check Pointin Suomen ja Baltian maajohtaja Sampo Vehkaoja.
”Tässä kuussa olemme myös nähneet Emotet-bottiverkon nousevan seitsemänneltä sijalta maailman toiseksi yleisimmäksi haittaohjelmaksi. Kuten epäilimmekin, Emotet sai nopeasti vahvan jalansijan tultuaan uudelleen esiin marraskuussa. Se on taitava välttelemään tietoturvatoimia ja leviää nopeasti haitallisia liitteitä tai linkkejä sisältävien tietojenkalastelusähköpostien kautta. Vankat sähköpostin suojausratkaisut ovat nyt tärkeämpiä kuin koskaan. Käyttäjien on myös osattava tunnistaa epäilyttävät viestit ja liitteet”, toteaa VP Research Maya Horowitz Check Pointilta.
Suomen yleisimmät haittaohjelmat joulukuussa 2021:
- Netwalker (tunnetaan myös nimellä Mailto) – Päivitetty versio Kokoklock-kiristyshaittaohjelmasta, joka leviää enimmäkseen tietojenkalastelusähköpostien kautta. Esiintyvyys 3,39 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,54 %.
- Formbook – Windows-järjestelmän haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2,54 %.
- DarkSide – Palveluna myytävä kiristyshaittaohjelma. Esiintyvyys 1,69 %.
- TrickBot – Windows-alustaan kohdistettu, pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, jota levitetään lähinnä roskapostikampanjoiden tai muiden haittaohjelmaperheiden kautta. Esiintyvyys 1,69 %.
- Crackonosh – Kryptovaluuttaa louhiva haittaohjelma, jota levitetään muun muassa tunnetuilla piraattiohjelmasivustoilla jaettavien suosittujen ohjelmistotuotteiden ja videopelien kautta. Esiintyvyys 1,27 %.
- XMRig – Monero-kryptovaluutan louhija. Esiintyvyys 1,27 %.
- Vidar – Windows-käyttöjärjestelmien haittaohjelma, joka varastaa salasanoja, luottokorttitietoja ja muuta arkaluontoista tietoa useista selaimista ja digitaalisista lompakoista. Esiintyvyys 0,85 %.
- Genome – Windows-haitake, joka lataa ja suorittaa tiedoston etäpalvelimelta. Haittaohjelman lataamat tiedostot on havaittu backdoor-troijalaisiksi, jotka liittyvät taloudellisten tietojen varastamiseen. Esiintyvyys 0,85 %.
- GhOst, Glupteba, Remcos – Kaikkien esiintyvyys 0,85 %.
Maailman yleisimmät haittaohjelmat ja haavoittuvuudet joulukuussa 2021:
- Trickbot – Bottiverkko ja pääasiassa pankkihuijauksiin tähtäävä haittaohjelma, joka saa jatkuvasti uusia päivityksiä. Esiintyvyys 4 %.
- Emotet – Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 3 %.
- Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 3 %.
Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli AlienBot, joka on palveluna myytävä Android-haittaohjelma (malware-as-a-service). Se sallii hyökkääjän ujuttaa pankkisovelluksiin haitallista koodia, jolloin hyökkääjä saa pääsyn uhrin tileille ja lopulta koko laitteen hallinnan. Toisella sijalla oli xHelper, jota käytetään muiden haitallisten sovellusten lataamiseen ja mainosten näyttämiseen. Sovellus pystyy piiloutumaan käyttäjältä ja virustorjuntaohjelmilta sekä asentamaan itsensä uudelleen, jos käyttäjä poistaa sen. Kolmannella sijalla oli Android-haittaohjelma Flubot, joka esiintyy usein logistiikkayrityksenä ja jota levitetään tietojenkalastelutekstiviestien välityksellä. Kun käyttäjä klikkaa viestissä olevaa linkkiä, FluBot asennetaan ja hakkeri saa pääsyn puhelimen arkaluonteisiin tietoihin.
Check Pointin tutkijat listasivat myös joulukuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Apache Log4j Remote Code Execution” (CVE-2021-44228), jota on yritetty hyödyntää 48,3 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Web Server Exposed Git Repository Information Disclosure”, ja sen esiintyvyys oli 43,8 %. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution” (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756), jonka esiintyvyys oli 41,5 %.
Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudinTM tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.
Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.
Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa www.checkpoint.com.
Lisätiedot:
Sampo Vehkaoja, Country Manager, Finland and Baltics, Check Point Software Technologies, sampov@checkpoint.com, p. 050 555 5500
Haastattelupyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.
Seuraa Check Point Researchia:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Podcast: https://research.checkpoint.com/category/cpradio/
Facebook: https://www.facebook.com/checkpointresearch