Yleisimmät haittaohjelmat: Tekoälyä hyödyntävä FunkSec on aktiivisin kiristysryhmä

Check Point Softwaren tuore haittaohjelmakatsaus korostaa kyberrikollisten kasvavaa teknistä osaamista ja kehittyviä taktiikoita. Joulukuussa esille nousivat tekoälyä hyödyntävän kiristysohjelmaryhmä FunkSecin aktiivisuus sekä FakeUpdates- ja AgentTesla-haittaohjelmien jatkuvat uhat.

ESPOO – 20. tammikuuta 2025 – Maailman johtava kyberturvallisuusratkaisujen tarjoaja ja alan edelläkävijä Check Point Software Technologies (NASDAQ: CHKP) on julkaissut joulukuun 2024 haittaohjelmakatsauksensa. Pääosassa on FunkSec, uusi tekoälyä hyödyntävä kiristyshaittaohjelma palveluna (RaaS) -toimija. Esillä ovat myös jatkuvat uhat, kuten Suomen ja maailman yleisin haittaohjelma, FakeUpdates.

FunkSec on noussut kaksoiskiristysohjelmien eturintamaan, ja ryhmä julkaisi joulukuussa 2024 tietoja yli 85 uhrista. Tämä luku ylittää kilpailijoiden uhrimäärän. Check Point Research (CPR) on kuitenkin huomauttanut, että monet väitteet uhrien määrästä ovat vahvistamattomia, mikä herättää kysymyksiä ryhmän uskottavuudesta. FunkSecin väitetään olevan kytköksissä Algeriaan, ja sen toimintaa ohjaavat sekä taloudellinen hyöty että haktivismi. Ryhmän tekoälyavusteiset taktiikat korostavat kehittyneiden teknologioiden kasvavaa roolia kyberuhkien maailmassa.

”Viimeisimmät kyberrikollisuuden suuntaukset korostavat valppauden ja innovaatioiden tärkeyttä kyberturvallisuudessa. Organisaatioiden on otettava käyttöön kehittyneitä uhkien torjuntamenetelmiä suojautuakseen yhä monimutkaisempia hyökkäyksiä vastaan”, toteaa Check Point Softwaren tutkimusjohtaja Maya Horowitz.

Suomen yleisimmät haittaohjelmat joulukuussa 2024:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 2,23 %.
2. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilien tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 1,79 %.
3. Formbook – Tietovaras, joka kohdistuu Windows-käyttöjärjestelmään ja havaittiin ensimmäisen kerran vuonna 2016. Haittaohjelmaa markkinoidaan palveluna (Malware as a Service, MaaS) maanalaisilla hakkerointifoorumeilla sen kehittyneiden välttelytekniikoiden ja suhteellisen edullisen hinnan vuoksi. FormBook varastaa kirjautumistietoja eri verkkoselaimista, ottaa kuvakaappauksia, seuraa ja kirjaa näppäinpainalluksia sekä pystyy lataamaan ja suorittamaan tiedostoja etähallinta- ja komentopalvelimelta saamiensa ohjeiden mukaisesti. Esiintyvyys 1,34 %.
4. Zegost – Takaportti, joka on ollut aktiivinen noin vuodesta 2011 lähtien. Se tunnetaan sitkeydestään ja kyvystään muodostaa ja ylläpitää yhteyttä vaarantuneisiin järjestelmiin. Zegost pystyy lataamaan käyttäjän huomaamatta lisää haitallisia tiedostoja, käyttämään rootkit-tekniikoita piilottaen läsnäolonsa sekä keräämään ja lähettämään järjestelmätietoja etähallinta- ja komentopalvelimelle. Zegostia on levitetty erilaisten haavoittuvuuksien avulla, mukaan lukien uusi hyökkäystekniikka, joka hyödyntää haitallisia PowerPoint-tiedostoja. Esiintyvyys 0,89 %.
5. Kazy – Dropper-tyyppinen haittaohjelma, joka on suunniteltu asentamaan muita haittaohjelmia tartunnan saaneille tietokoneille. Rikolliset käyttävät Kazya levittääkseen uhriensa laitteisiin lähes millaisia haittaohjelmia tahansa, kuten pankkihaittaohjelmia, tietovarkaita ja vakoiluohjelmia. Esiintyvyys 0,89 %.

Maailman yleisimmät haittaohjelmat joulukuussa 2024:

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoaderin, Dridexin, NetSupportin, DoppelPaymerin ja AZORultin, leviämiseen. Esiintyvyys 5 %.
2. AgentTesla – Kehittynyt etähallintatroijalainen (RAT), joka toimii näppäinlukijana ja tietovarkaana. Se pystyy seuraamaan ja tallentamaan uhrin näppäinpainalluksia, ottamaan näyttökuvia sekä varastamaan kirjautumistietoja useista uhrin koneelle asennetuista ohjelmista (mukaan lukien Google Chrome, Mozilla Firefox ja Microsoft Outlook -sähköpostiohjelma). Esiintyvyys 3 %.
3. Androxgh0st – Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Androxgh0st hyödyntää useita haavoittuvuuksia, jotka kohdistuvat erityisesti PHPUnit-, Laravel Framework- ja Apache Web Server -ohjelmistoihin. Haittaohjelma varastaa arkaluonteisia tietoja, kuten Twilio-tilin tietoja, SMTP-tunnuksia ja AWS-avaimia. Se käyttää Laravel-tiedostoja tarvittavien tietojen keräämiseen. Esiintyvyys 3 %.

Maailman yleisimmät mobiilihaittaohjelmat joulukuussa 2024

1. Anubis – Pankkitroijalainen, jossa on kiristysohjelmatoiminnallisuus ja joka kohdistuu Android-laitteisiin.
2. Necro – Dropper-troijalainen, joka asentaa haittaohjelmia ja tilaa maksullisia palveluita käyttäjän tietämättä.
3. Hydra – Pankkitroijalainen, joka varastaa kirjautumistietoja hyödyntämällä Android-laitteiden arkaluonteisia käyttöoikeuksia.

Johtavat kiristysryhmät joulukuussa 2024:

Tiedot perustuvat tietovuotosivustoihin, joilla ryhmät julkaisevat uhriensa tietoja painostaakseen heitä maksamaan lunnaat. FunkSec oli joulukuussa aktiivisin ryhmä, vastaten 14 prosentista kaikista julkaistuista hyökkäyksistä.

1. FunkSec – Hyödyntäen tekoälyä ja kaksoiskiristystaktiikoita FunkSec ohitti muut ryhmät julkaisemalla tietoja jopa 85 uhrista.
2. RansomHub – Aggressiivisista kampanjoistaan tunnettu RansomHub kohdistaa hyökkäyksiään muun muassa VMware ESXi -järjestelmiin ja käyttää edistyneitä salausmenetelmiä.
3. LeakeData – Uusi toimija, joka ylläpitää avoimessa verkossa toimivaa tietovuotosivustoa (DLS). LeakeData yhdistää kiristysohjelmahyökkäykset laajempiin kiristystoimiin.

Löydät Top 10 -haittaohjelmakatsauksen kokonaisuudessaan Check Pointin blogista: FunkSec: The Rising Yet Controversial Ransomware Threat Actor Dominating December 2024

Check Pointin uhkientorjuntaresurssit ovat saatavilla osoitteessa https://www.checkpoint.com/.

Lisätiedot:

Jarno Ahlström, Lead Security Engineer, Cyber Security Evangelist, Check Point Software, jarnoa@checkpoint.com, p. 040 707 0706.
Viivi Tynjälä, Country Manager, Finland and Baltics, Check Point Software, viivit@checkpoint.com, p. 0400 411 530.
Haastattelu- ja kuvapyynnöt: Päivi Savolainen, viestintäkonsultti, OSG Viestintä, paivi.savolainen@osg.fi, p. 050 441 6068.

Seuraa Check Pointia:

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
X: https://twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal