Maailmalla haittaohjelmien kärjessä ovat tietoturvayhtiö Check Pointin mukaan roskapostin mukana tulevat Agent Tesla ja Qbot. Ne pystyvät tallentamaan näppäintoimintoja ja keräämään jopa uhrin käyttämien ohjelmistojen salasanoja. Suomessa niistä yleisin on vuonna 2008 havaittu Qbot. Maailman yleisin haitake oli Agent Tesla.

Tietoturvayhtiö Check Point Software Technologiesin tutkijat havaitsivat huhtikuussa uuden mittavan kampanjan, jossa Qbot-haittaohjelmaa levitettiin uudella jakelutavalla sähköposteihin liitettyjen haitallisten, suojattujen PDF-tiedostojen kautta.  Kun tiedostot oli ladattu, haittaohjelma asennettiin laitteelle. Haittaohjelmaa levitettiin useilla eri kielillä ja kohteena oli organisaatioita ympäri maailmaa.

Yhtiön huhtikuun listalle teki paluun myös Mirai-, joka on yksi yleisimmistä IoT-laitteiden haittaohjelma. Se käytti uutta nollapäivän haavoittuvuutta CVE-2023-1380 hyökätessään TP-Linkin reitittimiin ja lisätäkseen ne bottiverkkoonsa, jota on käytetty joidenkin kaikkien aikojen tuhoisimmissa hajautetuissa DDoS-hyökkäyksissä. Viimeisin kampanja on jatkoa CPR:n havainnoille IOT-hyökkäysten yleistymisestä.

Huhtikuussa vaihtui myös useimmin kyberhyökkäysten kohteena olevien toimialojen kärki, sillä terveydenhuolto ohitti valtionhallinnon ja nousi sijalle kaksi maailmanlaajuisesti ja Pohjoismaissa. Globaalisti hyökkäysten kohteena olivat useimmin koulutus-/tutkimusalan organisaatiot, Euroopassa ja Pohjoismaissa laitetoimittajat.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli etäkäyttötroijalainen (RAT) AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Toisella sijalla oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa.  Kolmantena oli Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia.

Check Pointin tutkijat listasivat myös huhtikuun käytetyimmät haavoittuvuudet. Yleisin haavoittuvuus oli ”Web Servers Malicious URL Directory Traversal”, jota on yritetty hyödyntää 48 prosentissa yritysverkoista maailmanlaajuisesti. Seuraavaksi yleisin oli nimeltään ”Apache Log4j Remote Code Execution (CVE-2021-44228)”, ja sen esiintyvyys oli 44 prosenttia. Kolmannella sijalla oli ”HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756)”, jonka esiintyvyys oli 43 prosenttia.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin tietoihin. Se on maailman laajin verkosto, joka kerää tietoja kyberhyökkäyksistä Check Pointin tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli 3 miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Suomen yleisimmät haittaohjelmat huhtikuussa 2023

1. Qbot (eli Qakbot) Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 6,54 %.
2. XMRig Monero-kryptovaluutan louhija. Uhkatoimijat väärinkäyttävät usein tätä avoimen lähdekoodin ohjelmistoa ja integroivat sen haittaohjelmiin louhiakseen laittomasti uhrien laitteilla. Esiintyvyys 3,27 %.
3. Emotet Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Väistelee virustutkia ja poistoyrityksiä. Pystyy leviämään myös sähköpostiliitteiden ja -linkkien kautta. Esiintyvyys 2,80 %.
4. Remcos Etäkäyttötroijalainen eli RAT, joka havaittiin ensimmäisen kerran vuonna 2016. Se leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana ja se on suunniteltu ohittamaan Microsoft Windowsin käyttäjätilien valvonta (UAC) sekä käynnistämään haittaohjelmia. Esiintyvyys 1,87 %.
5. –10. GhOst, Formbook, Mirai, Parite, Danabot, Zegost  Kaikkien esiintyvyys 1,40 %.

Maailman yleisimmät haittaohjelmat huhtikuussa 2023

1. Agent Tesla Kehittynyt RAT, joka pystyy varastamaan tietoja sekä tarkkailemaan ja tallentamaan näppäintoimintoja, ottamaan kuvakaappauksia ja keräämään kaikessa hiljaisuudessa uhrin käyttämien ohjelmistojen salasanoja. Esiintyvyys 10 %.
2. Qbot (eli Qakbot) Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 4 %.
3. Formbook Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 4 %.

Kuva: Check Point