Androxgh0st-hyökkäyksissä nähty piikki niin Suomessa kuin muulla maailmassa

Tietoturvatutkijat havaitsivat hiljattain Androxgh0st-hyökkäysten piikin. Samalla Windows-, Mac- ja Linux-alustoihin kohdistuva troijalainen nousi suoraan toiseksi maailman yleisimpien haittaohjelmien listalla.

Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research on julkaissut toukokuun 2024 haittaohjelmakatsauksensa. Tutkijat ovat havainneet huhtikuussa huomattavan kasvun Androxgh0st-hyökkäyksissä. Haittaohjelma varastaa bottiverkkojen avulla arkaluonteisia tietoja.

Tutkijat ovat seuranneet Androxgh0st-hyökkääjien toimintaa sen ilmaantumisesta eli joulukuusta 2022 lähtien. Hyökkääjät hyödyntävät haavoittuvuuksia, kuten CVE-2021-3129 ja CVE-2024-1709, ja asentavat verkkokuoria etähallintaa varten. Taustalla nähdään myös bottiverkkojen rakentamista tunnistetietojen varastamiseksi. Viimeaikaiset tiedot viittaavat siihen, että nyt bottiverkkoja rakennetaan myös laajemman järjestelmähyökkäyksen mahdollistamiseksi.

Maailman yleisin haittaohjelma oli huhtikuussa 2024 Fakeupdates (eli SocGholish). Kolmossijalla on tällä erää heti Androxgh0stin perässä Qbot-pankkitroijalainen.

Kaksoiskiristysohjelmaryhmät ylläpitävät ”häpeäsivustoja”, joilla ne julkaisevat maksusta kieltäytyneiden uhrien tietoja heitä painostaakseen. LockBit3 on jälleen kerran listan kärjessä, vaikka sen havaitsemisaste on laskenut vuoden alusta 55 prosenttia ja sen maailmanlaajuinen vaikutus on vähentynyt 20 prosentista yhdeksään prosenttiin.

Mobiilihaittaohjelmien globaalilla listalla jatkoi kärjessä Androidiin kohdistuva Anubis-haitake, joka on pankki- ja etäkäyttötroijalainen. Toisella sijalla oli RAT eli etäkäyttötroijalainen AhMyth, jota levitetään sovelluskaupoista ja useilta sivustoilta löytyvissä Android-sovelluksissa. Kolmantena oli Android-haittaohjelma Hiddad, joka paketoi sovelluksia uudelleen ja julkaisee ne sovelluskaupassa.

Alla listattuna Suomen yleisimmät haittaohjelmat huhtikuussa 2024:

• FakeUpdates (eli SocGholish). JavaScriptillä kirjoitettu latausohjelma. Esiintyvyys 2,55 %.
• Bottiverkko, joka kohdistuu Windows-, Mac- ja Linux-alustoihin. Esiintyvyys 2,13 %.
• RaaS-ryhmä (ransomware as a service) ja haittaohjelma, joka toimii kaksinkertaisella kiristysmallilla. Esiintyvyys 1,70 %.
• Troijalainen, joka leviää useimmiten tietojenkalastelusähköpostin välityksellä. Esiintyvyys 1,70 %.
• PHP-kielellä kirjoitettu Windows-haittaohjelma, jota käytetään varastamaan Facebook-tilejä, selaimen tietoja ja kryptovaluuttalompakoita. Esiintyvyys 1,28 %.
• Pankkitroijalainen, joka varastaa uhrin pankkitunnuksia ja tallentaa näppäinpainalluksia. Esiintyvyys 1,28 %.
• Windows-järjestelmien haittaohjelma, joka kerää uhrien tietoja monin eri tavoin. Esiintyvyys 0,28 %.
• Kehittynyt etäkäyttötroijalainen eli RAT, joka toimii keyloggerina ja salasanojen varastajana. Esiintyvyys 0,85 %.
• Haittaohjelma, joka on suunniteltu tunkeutumaan tietojärjestelmiin ja lataamaan muita haittaohjelmia. Esiintyvyys 0,85 %.
• Takaovi, joka on kehittynyt vähitellen bottiverkoksi. Esiintyvyys 0,85 %.