pdf_haitta

Joka kolmas uusi haittaohjelma tulee PDF-tiedostossa

Kun viimeksi avasit sähköpostin liitteenä tulleen PDF-tiedoston, tuliko mieleesi, että sen mukana koneellesi ehkä tuli uusi, ennestään tuntematon haittaohjelma eli nollapäivähaavoittuvuus? Check Pointin raportin mukaan uusien haittaohjelmien määrä kasvoi viime vuonna räjähdysmäisesti, ja suosituin tapa ujuttaa sellainen uhrin koneelle on PDF.

perjantai 27. kesäkuuta 2014

Perinteiset tietoturvaratkaisut suojaavat tunkeutujilta, jotka tunnetaan. Uusi, tuntematon haittaohjelma (zero-day exploit) pystyy yleensä tekemään tuhojaan vastaanottajan koneella tunteja tai päiviä ennen kuin se havaitaan ja pysäytetään, vaikka käytössä olisi ajantasainen virustorjunta. Juuri siksi kyberrikolliset niitä kehittävätkin.

Check Point Software Technologies analysoi tietoturvaraporttiaan varten 200 000 tunnin verran tietoliikennettä yli 9 000 tietoturvapalvelimella 996 yrityksessä tai organisaatiossa 122 maassa noin puolen vuoden ajan viime vuonna. Mukana oli myös noin 200 suomalaisten organisaatioiden palvelinta.

Tästä aineistosta löytyi 83 miljoonaa uutta haittaohjelmaa, kun edellisvuonna niitä jäi kiinni 34 miljoonaa. Kasvuprosentti on 144. Jokin nollapäivähaavoittuvuus löytyi tutkimusaikana joka kolmannen yrityksen verkosta. Keskimäärin yrityksen verkkoon ladattiin 2,2 tunnistamatonta haitaketta joka tunti.

Valtaosa nollapäivähaavoittuvuuksista tuli sähköpostilla, ja yleensä haittakoodi kätkeytyi sähköpostin liitteeseen. Melkein 35 % uusista uhista löydettiin PDF-tiedostoista. Myös EXE-tiedostot ja pakatut tiedostot olivat kyberrikollisten suosiossa: 33 % haittakoodeista oli EXE-tiedostossa ja 27 % pakatuissa tiedostossa. Valtaosa haittakoodia sisältävistä pakatuista tiedostoista oli ZIP-muodossa, mutta niitä oli myös RAR-, 7z- ja CAB-paketeissa.

5 % uusista haittaohjelmista hyödynsi Microsoft Office -tiedostoja, joista yleisimmin käytettiin Word-tiedostoja. Haittakoodia löytyi kaikkiaan 15 erilaisesta Office-tiedostosta, mukaan lukien PowerPointeista ja Exceleistä.

Uusien haittaohjelmien räjähdysmäinen lisääntyminen johtuu osittain siitä, että haittaohjelmien muuntelusta on tullut entistä helpompaa. Netissä on myytävänä krypterityökaluja, jotka muuntelevat koodia juuri sen verran, etteivät palomuurit ja virustorjunta tunnista tunkeutujaa.

”Perinteiset tietoturvaohjelmistot eivät enää riitä. Ratkaisu on threat emulation eli järjestelmä, joka tunnistaa epäilyttävät sähköpostit automaattisesti ja avaa niiden liitteet turvallisessa paikassa, josta ne eivät pääse yrityksen tietoverkkoon. Kaiken kaikkiaan yrityksissä tarvitaan entistä laaja-alaisempaa lähestymistä tietoturvaan Sellaista edustaa uusi tietoturva-arkkitehtuurimme Software-Defined Protection”, kertoo Check Pointin Software Technologiesin Suomen maajohtaja Jukka Saarenmaa.

Check Point 2014 Security Report on ladattavissa Check Pointin sivuilta. Nollapäivähaavoittuvuuksista kerrotaan raportin sivuilla 13–20. Sieltä selviää myös, mitä tutkijoiden haaviin jääneet haittakoodit olisivat tehneet, jos niitä ei olisi saatu kiinni.

Ehkä sinua kiinnostaa...