Traficomin haittaohjelmahavainnot
Traficomin haittaohjelmahavainnot kuvaa suomalaisissa tietoverkoissa olevien tietokoneiden haittaohjelmatartuntojen määrää ja kestoa. Tiedot saadaan Traficomin Kyberturvallisuuskeskuksen Autoreporter-palvelusta, joka kokoaa eri puolilta internetiä tehtyjä havaintoja haittaohjelmien aiheuttamasta verkkoliikenteestä. Tiedot julkaistaan neljä kertaa vuodessa. Tiedon tuottamisesta vastaa Liikenne- ja viestintävirasto Traficom.
Kyberturvallisuuskeskuksen Autoreporter -palvelu on ollut käytössä vuodesta 2006 lähtien ja sen piirissä ovat kaikki suomalaiset verkkoalueet. Pitkäaikaisten tilastotietojen perusteella voidaan arvioida muun muassa suomalaisissa verkoissa esiintyneiden haittaohjelmien esiintymistiheyttä.
Alla olevia kuvioita tulkittaessa on huomioitava, että yksi saastunut tietokone saattaa aiheuttaa useita Autoreporter-havaintoja peräkkäisinä päivinä, jos saastunutta konetta ei ole saatu puhdistettua. Autoreporterin elinkaaren aikana tietolähteitä on muutettu. Ajan mittaan uusia ja luotettavia lähteitä on lisätty, epäluotettavia karsittu tai vanhan lähteen tietoja on suodatettu teleyrityksiltä saadun palautteen perusteella. Koska Autoreporter on jo toiminut melko pitkään, sen tuottamat havainnot ovat tilastollisesti riittäviä muun muassa edellä mainittujen johtopäätösten tekemiseen.
Ensimmäiseen kuvioon on koottu haittaohjelmia ja haitallista liikennettä koskevien havaintojen lukumäärät neljännesvuosittain vuodesta 2012 alkaen. Tilastoon on tehty takautuvia korjauksia marraskuussa 2016.
Vuonna 2013 ja vuoden 2014 alussa havaintoja tehtiin poikkeuksellisen paljon, sillä eräällä teleyrityksellä oli teknisiä vaikeuksia havainnoissa olleiden IP-osoitetietojen yhdistämisessä nettiliittymiin. Siitä seurasi, että kyseinen teleyritys ei saanut ilmoitettua asiakkailleen heillä olevista haittaohjelmatartunnoista. Kyseisen teleyrityksen saatua IP-osoitteiden seurantansa ja asiakkaidensa kontaktoinnin kuntoon vuoden 2014 alussa havaintojen määrä laski nopeasti.
Havaintojen määrä nousi jälleen loka-marraskuussa 2016 selvästi yli normaalin. Tuolloin Mirai-niminen haittaohjelma alkoi levitä voimakkaasti pieniin verkkolaitteisiin ja älylaitteisiin (esineiden internetin laitteet eli IoT-laitteet) ympäri maailmaa ja Suomikin sai ilmiöstä osansa. Kyberturvallisuuskeskuksen koordinoimalla verkkoliikenteen suodattamisella Mirain leviämistä saatiin hillittyä tuntuvasti vuoden 2016 lopulla. Mirai sai kuitenkin nopeasti jäljittelijöitä ja älylaitteisiin tarttuvat ja niiden välityksellä leviävät haittaohjelmat näyttävät tulleen jäädäkseen. Ne hallitsevat tilastoa edelleen.
Loppuvuodesta 2018 Suomessa ja maailmalla QNAP-merkkisissä verkkotallennuslaitteissa alkoi levitä uusi haittaohjelma.Kyberturvallisuuskeskus tutki haittaohjelmaa ensimmäisten joukossa ja antoi sille nimeksi QSnatch. Havaintojen syyn selvittyä useimmat saastuneiden laitteiden omistajat saivat poistettua haittaohjelman ja suojattua laitteensa, mutta osa ei ja QSnatchistakin on tullut uusi pysyvä riesa.
Toisessa kuviossa näkyvät erityyppisiä haittaohjelmia ja haitallista liikennettä koskevien havaintojen suhteelliset osuudet viimeisimmällä vuosineljänneksellä.
Maaliskuussa 2020 pahantahtoinen internetin skannaus haavoittuvien ja huonosti suojattujen järjestelmien löytämiseksi on lisääntynyt voimakkaasti. Muutos liittyy koronaviruspandemian myötä lisääntyneeseen
etätyöskentelyyn, joka on paljastanut internetiin paljon esimerkiksi Windows-tietokoneiden etätyöpöytäpalveluita, jotka ovat aiemmin pysytelleet yritysten sisäverkkojen suojissa. Loppuvuoden 2020 havaintomäärät ovat laskeneet kevään jäljiltä edellisvuoden tasolle.
Autoreporter-palvelumme ei havainnut viimeisintä vuoden 2021 lopussa näkynyttä FluBot-kampanjaa. Havaintojen puute johtui siitä, että uusin haittaohjelmaversio käytti komentopalvelinliikenteessä salattua DNS over HTTPS (DoH)-tekniikkaa.
Verkkorikollisryhmä Avalanche tarjoaa tietojen kalastelua ja haittaohjelmien levitystä palveluna muille rikollisille. Ryhmä käyttää ja levittää useita haittaohjelmaperheitä. Autoreporter-palvelun havaintolähteet eivät pysty yksilöimään verkkoliikenteestä kaikkia Avalanche-ryhmän haittaohjelmia, mutta tunnistavat sen, kun saastunut tietokone ottaa yhteyttä ryhmän käyttämiin komentopalvelimiin. Ryhmän toiminta on kohdistunut Suomeen poikkeuksellisen vahvasti vuoden 2020 ensimmäisellä neljänneksellä, mutta vähentynyt normaalille tasolleen toisen neljänneksen aikana. Heinäkuussa ja elokuussa havainnot kasvoivat taas, mutta lokakuu oli hiljaisempi.
Hummer-haittaohjelma on ollut tilastojen kärjessä jo vuoden 2020 loppupuoliskolta alkaen, eikä tilanteeseen todennäköisesti tule lähiaikoina muutosta. Hummer on piilohallintaohjelma (rootkit) joten sen poistaminen on erittäin vaikeaa. Laitteelle päästyään Hummer ottaa pääkäyttäjän oikeudet, esittää käyttäjälle mainoksia ja ryhtyy lataamaan sovelluksia, jotka voivat olla haitallisia tai muuten kuluttaa akkua nopeasti.