Terveydenhuolto on nyt mieluisa kohde hakkereille

Terveydenhuolto nousi huhtikuussa hakkereiden toiseksi suosituimmaksi kohteeksi Pohjoismaissa ja maailmanlaajuisesti, kertoo Check Point Researchin haittaohjelmakatsaus. Laaja roskapostikampanja nosti Qbot-troijalaisen maailman toiseksi yleisimmäksi haittaohjelmaksi, ja Suomessa se säilytti ykkössijansa. IoT-haitake Mirai palasi yleisimpien haittaohjelmien listalle ensimmäistä kertaa vuoteen.

Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut huhtikuun 2023 haittaohjelmakatsauksensa.

Tietoturvatutkijat havaitsivat viime kuussa mittavan kampanjan, jossa Qbot-haittaohjelmaa levitettiin uudella jakelutavalla sähköposteihin liitettyjen haitallisten, suojattujen PDF-tiedostojen kautta. Haittaohjelmaa levitettiin useilla eri kielillä ja kohteena oli organisaatioita ympäri maailmaa. Qbot oli Suomen yleisin ja maailman toiseksi yleisin haittaohjelma huhtikuussa. Maailman yleisin haitake oli Agent Tesla. Kolmannelle sijalla oli Windows-järjestelmien haittaohjelma Formbook.

Listapaluun teki Mirai, joka on yksi yleisimmistä IoT (Internet-of-Things, esineiden Internet) -haittaohjelmista. Tutkijat havaitsivat, että se käytti uutta nollapäivän haavoittuvuutta CVE-2023-1380 hyökätäkseen TP-Linkin reitittimiin ja lisätäkseen ne bottiverkkoonsa, jota on käytetty joidenkin kaikkien aikojen tuhoisimmissa hajautetuissa DDoS-hyökkäyksissä.

Huhtikuussa vaihtui myös useimmin kyberhyökkäysten kohteena olevien toimialojen kärki, sillä terveydenhuolto ohitti valtionhallinnon ja nousi sijalle kaksi maailmanlaajuisesti ja Pohjoismaissa. Globaalisti hyökkäysten kohteena olivat useimmin koulutus-/tutkimusalan organisaatiot, Euroopassa ja Pohjoismaissa laitetoimittajat.

Terveydenhuoltolaitoksiin kohdistuvat hyökkäykset ovat hyvin dokumentoituja, ja joissakin maissa ne ovat yhä jatkuvien hyökkäysten kohteena. Esimerkiksi Medusa-kyberrikollisryhmä kohdisti hiljattain hyökkäyksiä syöpälaitoksiin Australiassa. Ala on tuottoisa kohde hakkereille, sillä se avaa heille mahdollisuuden päästä käsiksi luottamuksellisiin potilas- ja maksutietoihin. Tällä voi olla seurauksia myös lääkeyhtiöille, sillä hyökkäykset voivat johtaa kliinisiä tutkimuksia tai uusia lääkkeitä ja laitteita koskeviin tietovuotoihin.

Mobiilihaittaohjelmien globaalilla listalla ensimmäisenä oli etäkäyttötroijalainen (RAT) AhMyth, joka havaittiin vuonna 2017. Sitä levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Toisella sijalla oli pankki- ja etäkäyttötroijalainen Anubis, joka on suunnattu Android-puhelimiin. Kiristysohjelmaominaisuuksillakin varustettu Anubis kykenee tallentamaan myös ääntä ja näppäinpainalluksia. Sitä on havaittu sadoissa Google Storen sovelluksissa.  Kolmantena oli Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa. Pääasiassa se levittää mainoksia.

Alla listattuna Suomen yleisimmät haittaohjelmat huhtikuussa 2023:

• Qbot (eli Qakbot). Ensimmäisen kerran vuonna 2008 havaittu pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Esiintyvyys 6,54 %.
• XMRig. Monero-kryptovaluutan louhija. Esiintyvyys 3,27 %.
• Emotet. Kehittynyt, itsestään leviävä ja modulaarinen pankkitroijalainen, jota käytetään pääasiassa muiden haittaohjelmien levittämiseen. Esiintyvyys 2,80 %.
• Remcos. Etäkäyttötroijalainen eli RAT, joka leviää roskapostien liitteinä olevien Microsoft Office -dokumenttien mukana. Esiintyvyys 1,87 %.
• GhOst, Formbook, Mirai, Parite, Danabot ja  Zegost: Kaikkien esiintyvyys 1,40 %.

Täydellinen Top 10 -haittaohjelmalista löytyy Check Pointin blogista.