WithSecuren tutkinta paljasti KeePass-ohjelmaa hyödyntävän troijalaiskampanjan

Lehdistötiedote  |  12.5.2025

WS_green_abstract_structure_hero

Helsinki – 12.5.2025: WithSecuren Incident Response- ja uhkatiedustelutiimit ovat helmikuussa 2025 tapahtuneen kiristyshaittaohjelmatapauksen tutkinnan yhteydessä paljastaneet kehittyneen kyberhyökkäyksen, jossa hyödynnettiin suositun avoimen lähdekoodin salasanojen hallintaohjelma KeePassin troijalaista versiota.

WithSecure kehottaa organisaatioita pysymään valppaina toimitusketjun vaarantumisen varalta, tarkistamaan lataukset huolellisesti ja seuraamaan epätavallista käyttäytymistä tunnistetietojen ympärillä.

Tutkinta paljasti, että hyökkääjät muokkasivat KeePassin lähdekoodia ja allekirjoittivat sen laillisilla varmenteilla, mikä loi luotettavan mutta haitallisen version, jota levitettiin hakukoneiden kautta. Tämä muutettu KeePass-asennusohjelma suodatti salaa salasanatietokannan sisältöä ja toimi samalla jakelumekanismina hyväksikäytön jälkeisille työkaluille.

WithSecure yhdisti haitallisen infrastruktuurin tuotteliaaseen Initial Access Brokeriin (IAB), joka on liittynyt lukuisiin kiristyshaittaohjelmahyökkäyksiin viimeisen kahden vuoden aikana. Havainnot korostavat, että kampanja, joka on ollut aktiivinen vähintään kahdeksan kuukautta, vaikutti todennäköisesti monenlaisiin uhreihin ympäri maailmaa – joista monet eivät ole tietoisia tietomurrosta.

"Tällaiset hyökkäykset ovat todellinen haaste verkon puolustajille. Havaitsemattomat haittaohjelmat, joita levitetään luotettavien hakukoneiden mainosten kautta, väistävät sekä ihmisten epäilyksiä että teknisiä kontrolleja", sanoo Timothy West, Director, Threat Intelligence & Outreach, WithSecure. "Tämän kampanjan hienostuneisuus ja salaperäisyys osoittavat kiristyshaittaohjelmatoimijoiden kehittyvät kyvyt ja korostavat eurooppalaisiin organisaatioihin kohdistettavien tekniikoiden tehokkuutta."

Lisäanalyysi paljasti laajemman rikollisen ekosysteemin, joka käyttää väärennettyjä ohjelmistolatauksia haitallisten mainosten avulla ja kohdistuu useisiin laillisiin tuotteisiin KeePassin lisäksi. Hyökkäysinfrastruktuurilla ja -menetelmillä on yhteyksiä kiristyshaittaohjelmaryhmiin, jotka ovat sidoksissa Black Bastaan ja BlackCatiin, vaikka lopullinen attribuutio on edelleen monimutkainen rikollisten "palveluna"-mallien yleistymisen vuoksi.

"Tällä dokumentoimattomaksi uskomallamme KeePass-kampanjalla on lähes varmasti merkittävä määrä uhreja, ja se on yhä käynnissä", West päättää.

Lue koko raportti englanniksi täältä: https://labs.withsecure.com/publications/keepass-trojanised-in-advanced-malware-campaign

WithSecure Intelligence ja Incident Response -tiimi esittelevät näkemyksiään ja työtään WithSecuren vuosittaisessa kyberturvallisuuden lippulaivatapahtuma SPHEREssä Helsingissä 21.–22. toukokuuta 2025. Lisätietoja: thesphere.org.

Median yhteyshenkilö
Inari Anttila
+358438240090

WithSecure™ lyhyesti

WithSecure™, aiemmin F-Secure yritystietoturva, on eurooppalainen luotettava kyberturvallisuuskumppani. Keskisuuret yritykset ja IT-palveluntarjoajat maailmanlaajuisesti luottavat meihin tuloksellisen kyberturvallisuuden ratkaisuissa. Eurooppalaisen tietosuojakäytännön mukaisesti WithSecure asettaa yksityisyyden, tietosuvereniteetin ja säädöstenmukaisuuden etusijalle. 

Yli 35 vuoden kokemuksella WithSecure™ on suunnitellut tuotevalikoimansa tukemaan proaktiivista tietoturvaa. Yhteistyöhön ja liiketoiminnan kasvuun sitoutuneena WithSecure™ tarjoaa kumppaneilleen joustavia kaupallisia malleja, jotka varmistavat molemminpuolisen menestyksen dynaamisessa tietoturvan maailmassa. 

WithSecuren™ valikoiman keskeisenä osana on Elements Cloud, joka saumattomasti integroi tekoälyä hyödyntävät teknologiat, inhimillisen asiantuntemuksen ja co-security-palvelut. Lisäksi se antaa keskikokoisille yritysasiakkaille modulaariset kyvykkyydet, jotka kattavat päätelaitteiden ja pilven suojauksen, tietoturvauhkien havaitsemisen ja reagoinnin sekä altistumisen hallinnan. 

WithSecure™ on perustettu vuonna 1988 ja listattu NASDAQ OMX Helsingin pörssissä.