Traficoms observationer av skadeprogram
Traficoms observationer av skadeprogram beskriver antalet och längden på de infektioner som orsakas av skadliga datorprogram i de finländska datanäten. Uppgifterna fås från tjänsten Autoreporter, som Cybersäkerhetscentret vid Traficom tillhandahåller. Tjänsten samlar in observationer från nätet om den nättrafik som har orsakats av skadeprogram. Uppgifterna publiceras fyra gånger om året. För produktionen av informationen ansvarar Transport- och kommunikationsverket Traficom.
Cybersäkerhetscentrets Autoreporter-tjänst har varit i drift sedan 2006 och den omfattar alla finländska domäner. Utifrån en långtidsstatistik är det bland annat möjligt att beräkna hur ofta skadliga program förekommer i finländska nät.
Då man tolkar figurerna nedan ska man beakta att en infekterad dator kan orsaka flera observationer i Autoreporter på varandra följande dagar, om den infekterade datorn inte har rensats. Under Autoreporters livscykel har informationskällorna ändrats. Med tiden har nya och tillförlitliga källor lagts till och mindre tillförlitliga har slopats eller data från en gammal källa har filtrerats utifrån respons från teleföretagen. Eftersom Autoreporter har använts tämligen länge, är observationerna som det producerar statistiskt tillräckliga bland annat för att dra sådana slutsatser som nämns ovan.
Den första figuren omfattar antalet observationer av skadliga program och skadlig trafik per kvartal från år 2012. Vissa retroaktiva korrigeringar gjordes i statistiken i november 2016.
Åren 2013 och 2014 var antalet observationer exceptionellt stort eftersom ett av teleföretagen hade tekniska svårigheter i att koppla IP-adressdata från observationerna till internetabonnemang. Till följd av detta kunde operatören inte informera sina kunder om deras infektioner av skadliga program. Efter det att teleföretaget i fråga hade korrigerat sitt system för monitorering av IP-adresser och kontaktat sina kunder minskade antalet observationerna snabbt vid början av 2014.
Observationerna ökade igen i oktober och november 2016 och överskred klart den normala nivån. Det berodde på det skadliga programmet Mirai som snabbt började sprida sig till liten nätverksutrustning och smarta enheter (sakernas internet, IoT) överallt i världen, även i Finland. Cybersäkerhetscentret började samordna filtrering av nätverkstrafiken som märkbart hjälpte kontrollera spridningen av Mirai. Mirai efterföljdes dock snabbt av andra motsvarande program. Skadliga program som infekterar smarta enheter och använder dessa enheter för spridning verkar vara här för att stanna. De dominerar fortfarande statistiken.
Vid slutet av 2018 började ett nytt skadligt program sprida sig i QNAPs NAS-enheter i Finland och i andra länder. Cybersäkerhetscentret var bland de första som undersökte det skadliga programmet och gav det namnet QSnatch. Efter att orsaken till infektionerna hittades kunde de flesta ägare av smittade enheter avlägsna det skadliga programmet och skydda sina enheter. Alla kunde emellertid inte göra det och därför har QSnatch blivit ett nytt ständigt
I den andra figuren visas de relativa andelarna observationer som gäller olika typer av skadliga program och skadlig trafik under det senaste kvartalet.
I mars 2020 ökade bedräglig internetskanning för att hitta sårbara och dåligt skyddade system betydligt. Ändringen har samband med ökat distansarbete som ett resultat av coronaviruspandemin och som till exempel har exponerat en hel del Windows fjärrskrivbordstjänster som tidigare hade skyddats av företagens interna nät. Efter den livliga perioden i våras har antalet observationer under slutet av 2020 minskat till föregående års nivå.
Skadliga program drabbar smarta internetuppkopplade enheter (IoT), såsom övervakningskameror och inspelningsapparater och förorsakar en stor del av de egentliga observationerna av skadliga program. De flesta observationerna gäller fortfarande QSnatch och Mirai.
Den nätkriminella gruppen Avalanche erbjuder nätfiske och spridning av skadliga program som en tjänst för andra brottslingar. Gruppen använder och sprider ut flera familjer med skadliga program. Autoreportertjänstens observationskällor kan inte identifiera alla Avalanche-gruppens skadliga program i nättrafiken, men de känner igen dem när en infekterad dator kontaktar de kommandoservrar som gruppen använder. Gruppens verksamhet har riktat sig exceptionellt starkt till Finland under det första kvartalet år 2020 men minskat till den normala nivån under det andra kvartalet. Antalet observationer ökade i juli och augusti men oktober var en lugnare månad.
Det skadliga programmet Hummer har varit i toppen av statistiken redan från det andra halvåret 2020, och det är osannolikt att läget förändras inom den närmaste framtiden. Eftersom Hummer är en rootkit är det mycket svårt att avlägsna den. Efter att ha gjort intrång i apparaten tar Hummer över administratörsrättigheter, visar reklam för användaren och börjar ladda ned applikationer som kan vara skadliga eller som annars snabbt kan förbruka apparatens batteri.