Check Point Researchin tutkimusosaston tammikuun katsauksessa nostetaan esiin jo vuodesta 2017 toiminut VexTrio. Kyse on sivustojen verkostosta, jota käytetään haittaohjelmien levittämiseen. Verkostossa on mukana yli 70 000 sivustoa.

VexTrio on liikenteenjakelujärjestelmän eli TDS (traffic distribution system). Järjestelmä on tukenut yli 60 toimijaa hyödyntäen laajaa verkostoaan, joka sisältää yli 70 000 luvattomasti käytettyä sivustoa. Tavoitteena on haittaohjelmien levittäminen hyödyntämällä sen kehittämää monimutkaista TDS-järjestelmää, joka muistuttaa laillisia markkinointiverkostoja.

Vaikka se on ollut toiminnassa yli kuusi vuotta, sen toiminnan laajuutta ei ole juurikaan huomattu, sillä sitä on vaikea yhdistää tiettyihin uhkatoimijoihin tai hyökkäysmenetelmiin. Tämä sekä sen laaja verkosto ja edistynet toimintatavat tekevät siitä suuren kyberturvallisuusriskin.

Check Pointin tutkimusjohtaja Maya Horowitzin mukaan VexTrio on taas yksi osoitus siitä, miten kaupallisesti suuntautunutta kyberrikollisuus on nykyään. - Sekä yksilöiden että organisaatioiden turvallisuuden varmistamiseksi on tärkeää asettaa etusijalle säännölliset kyberturvallisuuspäivitykset, ottaa käyttöön kattavat päätelaitteen suojatoimet ja kehittää valppaiden verkkokäytäntöjen kulttuuria, Horowitz evästää.

Check Point esittelee tammikuun katsauksessaan ensimmäistä kertaa kiristysryhmien aktiivisuutta mittaavan rankingin, joka perustuu yli 200 julkaistun tapauksen analyysiin. Viime kuussa LockBit3 osoittautui aktiivisimmaksi ryhmäksi ollen vastuussa 20 prosentista kaikista raportoiduista iskuista. Ryhmä oli mukana useissa tammikuun hyökkäyksissä, esimerkkeinä Subway-pikaruokaketjuun ja Chicagon Saint Anthony -sairaalaan tehdyt iskut. 

Suomen yleisimmät haittaohjelmat tammikuussa 2024

1. FakeUpdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. FakeUpdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 1,28 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 1,69 %.
3. Snatch – RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla, jossa se sekä varastaa että salaa uhrin tietoja kiristystarkoituksessa. Snatch on toiminut vuodesta 2018 lähtien. Esiintyvyys 1,27 %.
4. Medusa – Android-laitteisiin kohdistuva pankkitroijalainen, joka havaittiin ensimmäisen kerran heinäkuussa 2020. Haittaohjelmaa levitetään Smishing (Phishing SMS) -palvelujen kautta, ja sen tiedetään kohdistuvan rahoitusorganisaatioihin Turkissa, Pohjois-Amerikassa ja Euroopassa. Haittaohjelman ominaisuuksiin lukeutuvat myös näppäimistön seurannan käyttö sekä äänen ja videon suoratoisto. Esiintyvyys 0,84 %.
5. AgentTesla – Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Vuodesta 2014 lähtien aktiivinen AgentTesla voi seurata ja kerätä uhrinsa näppäintoimintoja ja järjestelmän leikepöytää sekä tallentaa kuvakaappauksia ja siirtää tunnistetietoja, joita on syötetty uhrin koneelle asennettuihin ohjelmistoihin (kuten Google Chrome, Mozilla Firefox ja Microsoft Outlook). AgentTeslaa myydään avoimesti laillisena RAT-ohjelmana, ja asiakkaat maksavat käyttäjälisensseistä 15–69 dollaria. Esiintyvyys 0,84 %.
6. BLINDINGCAN – Uusi etäkäyttötroijalainen (RAT), jota Pohjois-Korean pahamaineinen Lazarus-ryhmä käyttää. Esiintyvyys 0,84 %.
7. Injuke – Troijalainen, joka leviää pääasiassa kalastelusähköpostien kautta. Kun haittaohjelma on onnistuneesti lisätty, se salaa uhrin tietokoneella olevat tiedot tai estää työkalua toimimasta oikein sekä esittää samalla lunnasvaatimuksen. Esiintyvyys 0,84 %.
8. Tofsee – Windows-alustaan kohdistuva haittaohjelma yrittää ladata ja suorittaa muita haitallisia tiedostoja kohdejärjestelmissä. Se saattaa ladata ja näyttää kuvatiedoston käyttäjälle piilottaakseen todellisen tarkoituksensa. Esiintyvyys 0,84 %.
9. Mirai – Pahamaineinen IoT-haittaohjelma, joka jäljittää haavoittuvia IoT-laitteita, kuten web-kameroita, modeemeja ja reitittimiä, ja muuttaa ne boteiksi. Mirai-bottiverkko havaittiin ensimmäisen kerran vuonna 2016, ja se on tunnettu massiivisista DDoS-hyökkäyksistä. Esiintyvyys 0,84 %.
10. Jorik – Takaovityyppinen haittaohjelma, joka kohdistuu Windows-alustaan. Haittaohjelma on suunniteltu antamaan pahansuoville käyttäjille etähallinta tartunnan saaneeseen tietokoneeseen. Esiintyvyys 0,84 %.

Maailman yleisimmät haittaohjelmat tammikuussa 2024

1. Fakeupdates (eli SocGholish) – JavaScriptillä kirjoitettu latausohjelma, joka tallentaa haitalliset hyötykuormat levylle ennen niiden suorittamista. Fakeupdates on ollut syynä monien muiden haittaohjelmien, kuten GootLoader, Dridex, NetSupport, DoppelPaymer ja AZORult, leviämiseen. Esiintyvyys 4 %.
2. Qbot – Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Qbotia levitetään yleensä roskapostiviestien välityksellä. Esiintyvyys 3 %.
3. Formbook – Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 2 %.