Check Pointin tietoturvatutkijat ovat havainneet uudenlaisen laajalle levinneen liikenteenjakelujärjestelmä VexTrionin. Se hyödyntää yli 70 000 luvattomasti käytettyä sivustoa. Tammikuussa aktiivisin kiristysryhmä oli LockBit3 ja Suomessa FakeUpdates ja Qbot.

VexTrio on ollut kyllä toiminnassa jo useita vuosia, mutta sen laajuus on paljastunut vasta viime aikoina. Verkosto hyödyntää haittaohjelmien levityksessä TDS-järjestelmää, joka muistuttaa verkon laillisia markkinointiverkostoja. Tämä tekee siitä suuren kyberturvallisuusriskin.

Vaikka VexTrio  on ollut toiminnassa pitkään, sitä on ollut Check Pointin tutkijoiden mukaan vaikea yhdistää tiettyihin uhkatoimijoihin tai hyökkäysmenetelmiin. Uusimmassa selvityksessä Check Point listaa ensimmäistä kertaa kiristysryhmien aktiivisuutta mittaavan rankingin, joka perustuu yli 200 julkaistun tapauksen analyysiin.

Globaalisti useimmin hyökkäysten kohteena oli koulutus- ja tutkimusala. Sitä seurasivat valtionhallinto/puolustusvoimat sekä terveydenhuolto. Euroopassa kärkisijalla olivat koulutus/tutkimus, valtionhallinto/puolustusvoimat sekä pankki- ja rahoitusala. Pohjoismaissa hyökkäykset kohdistuivat useimmin valtionhallintoon/puolustusvoimiin sekä koulutus- ja tutkimusalaan.

Kuukausittain laadittava haittaohjelmatilasto perustuu Check Pointin ThreatCloudin tietoihin, joka kerää tietoja kyberhyökkäyksistä yrityksen tietoturvalaitteilta kautta maailman ja näyttää ne reaaliaikaisesti kartalla. ThreatCloud-tietokanta tarkastaa yli kolme miljardia verkkosivustoa ja 600 miljoonaa tiedostoa sekä tunnistaa yli 250 miljoonaa haittaohjelmatoimintaa päivittäin.

Suomen yleisimmät haittaohjelmat tammikuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen
3. Snatch – RaaS-ryhmä (ransomware as a service
4. Medusa – Android-laitteisiin kohdistuva pankkitroijalainen
5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana.
6. BLINDINGCAN – Uusi etäkäyttötroijalainen (RAT), jota Pohjois-Korean pahamaineinen Lazarus-ryhmä käyttää.
7. Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta.
8. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä.
9. Mirai – Pahamaineinen IoT-haittaohjelma, joka jäljittää haavoittuvia IoT-laitteita, kuten web-kameroita, modeemeja ja reitittimiä, ja muuttaa ne boteiksi.
10. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan.

Johtavat kiristysryhmät tammikuussa 2024

1. LockBit3 – LockBit3 on kiristysohjelma, joka toimii palveluna (RaaS, Ransomware as a Service) ja tuli ensimmäisen kerran tunnetuksi syyskuussa 2019.
2. 8Base – 8Base on kiristysryhmä, joka on ollut toiminnassa ainakin maaliskuusta 2022.
3. Akira – Akira on uusi kiristysohjelma, joka kohdistuu sekä Windows- että Linux-järjestelmiin ja havaittiin ensimmäisen kerran vuoden 2023 alussa.

Kuvituskuva: Check Point