​Bottiverkon lonkerot leviävät IoT-laitteisiin


Tietoturvayhtiön Check Point Software Technologiesin tutkimustoiminnasta vastaava Check Point Research kertoo haittaohjelmakatsauksessaan, että hyökkäykset Mirai-bottiverkolle alttiisiin haavoittuvuuksiin lisääntyivät helmikuussa huomattavasti.

Mirai-bottiverkko on tunnettu IoT (Internet of Things) -laitteiden tartuttamisesta ja massiivisista DDoS-hyökkäyksistä. Haavoittuvuus, joka tunnetaan nimellä PHP php-cgi Query String Parameter Code Execution, oli helmikuun kuudenneksi hyödynnetyin. Se vaikutti 20 prosenttiin organisaatioista ympäri maailmaa, luvun ollessa tammikuussa kaksi prosenttia.
Tutkijat varoittavat organisaatioita myös Emotetista, joka oli kuukauden toiseksi käytetyin haittaohjelma ja tällä hetkellä yleisin bottiverkko. Se on levinnyt helmikuussa kahdella uudella vektorilla. Näistä ensimmäinen oli amerikkalaiskäyttäjille suunnattu SMS-tietojenkalastelukampanja. Siinä tekstiviesti jäljittelee tunnettujen pankkien viestejä ja houkuttaa uhrit klikkaamaan haitallista linkkiä, joka lataa laitteeseen Emotet-haittaohjelman. Toinen vektori oli Emotet, joka havaitsee ja hyödyntää lähellä olevia Wi-Fi-verkkoja. Se pyrkii leviämään väsytyshyökkäyksillä, joissa kokeillaan erilaisiayleisesti käytettyjä Wi-Fi-salasanoja. Sovellusta käytetään ensisijaisesti kiristys- ja muiden haittaohjelmien jakeluun.
Emotet esiintyi helmikuussa seitsemässä prosentissa organisaatioista maailmanlaajuisesti, määrän ollessa tammikuussa 13 prosenttia. Silloin sitä levitettiin esimerkiksi koronavirusaiheisten roskapostikampanjoiden kautta. Tämä osoittaa, kuinka nopeasti kyberrikolliset muuttavat hyökkäystensä aiheita ja yrittävät näin maksimoida tartuntojen määrän.
”Helmikuun merkittävimmät uhat olivat monipuolisia haittaohjelmia, kuten XMRig ja Emotet. Rikolliset pyrkivät rakentamaan mahdollisimman laajan tartunnan saaneiden laitteiden verkoston. He hyödyntävät sitä ansaintatarkoituksessa monin tavoin kiristysohjelmista DDoS-hyökkäyksiin”, kertoo Check Pointin Threat Intelligence & Research, Products -ryhmän johtaja Maya Horowitz.
Suomessa helmikuun yleisin haittaohjelma oli RigEK, jota esiintyi noin yhdeksässä prosentissa yritysverkoista. Se käyttää Flash-, Java-, Silverlight- ja Internet Explorer -sovelluksia. Tartuntaketju alkaa uudelleenohjauksella aloitussivulle, joka sisältää haavoittuvat plug-init tarkistavan JavaScriptin.