OpenText heeft de Nastiest Malware of 2022 aangekondigd, een ranglijst van de grootste cyberbedreigingen van het jaar. Voor het vijfde achtereenvolgende jaar hebben de deskundigen van OpenText Security Solutions op het gebied van bedreigingsinformatie de gegevens uitgekamd, verschillende gedragingen geanalyseerd en bepaald welke schadelijke payloads het smerigst zijn. Emotet stond weer bovenaan en herinnerde de wereld eraan dat filialen weliswaar kunnen worden uitgeschakeld, maar dat de meesterbreinen veerkrachtig zijn.

LockBit ontwikkelde zijn tactiek tot iets wat nog nooit eerder was vertoond: drievoudige afpersing. Uit analyse bleek ook een toename van bijna 1100% in phishing tijdens de eerste vier maanden van 2022 in vergelijking met dezelfde periode in 2021, wat wijst op een mogelijk einde van de "hackervakantie", een rustperiode voor hackers na de drukke feestdagen. Hoewel de lijst van dit jaar payloads kan indelen in verschillende categorieën malware, is het belangrijk op te merken dat veel van deze groepen van slechte actoren werk van anderen uitbesteden.

Hierdoor kan elke groep zich specialiseren in de payload en deze perfectioneren. 2022 slechtste malware: Emotere blijft het meest succesvolle botnet dat bestaat, na een korte uitschakeling vorig jaar. Zijn taak is het verzenden van malspamcampagnes naar miljarden e-mails per dag.

Het creëert een steunpunt op de computer van een slachtoffer, met vervolgmalware die zich vervolgens zijdelings verplaatst en de rest van de omgeving compromitteert voordat de uiteindelijke payload van ransomware wordt binnengebracht. LockBit is de meest productieve en succesvolle ransomware-groep van dit jaar. Hoewel de groep al ongeveer drie jaar bestaat als een ransomware-as-a-service (RaaS) groep, blijven ze hun tactieken uitbreiden.

Naast het buitmaken van gegevens, het vasthouden ervan voor losgeld en het dreigen met lekken ervan, voegt drievoudige afpersing een derde laag toe: een DDoS-aanval (Distributed Denial-of-Service) op een volledig systeem om het volledig te blokkeren. Conti, een RaaS-malware, staat al geruime tijd op de radar van Nastiest Malware. In februari gaf Conti op hun leksite een steunverklaring vrij voor de Russische overheid.

Kort daarna lekte een twitteraccount, Conti leaks, Conti's interne chats van bijna twee jaar geleden, wat resulteerde in de ontmanteling van hun leksite en commando- en controleservers. Conti is sindsdien omgevormd tot meerdere operaties, met name HelloKitty, BlackCat en BlackByte. Qbot (AKA Qakbot), mogelijk de oudste trojan voor het stelen van informatie, wordt nog steeds bijgewerkt.

Het verspreidt zich door het netwerk en infecteert de hele omgeving terwijl het "de boel in de gaten houdt" om toegang te krijgen tot zoveel mogelijk gegevens om deze te exfiltreren voor afpersing en om de laatste fase van de ransomware payloads voor te bereiden. Valyria is een andere stam van een voormalige banktrojan die is omgezet in een malspam-botnet met e-mailbijlagen die zijn omgezet in schadelijke scripts die een infectieketen starten die meestal resulteert in ransomware. Het lastige aan Valyria is de complexiteit van de componenten en het vermogen om detectie te ontwijken.

Cobalt Strike en Brute Ratel zijn hulpmiddelen om aanvallen te simuleren. Cobalt Strike is een pentestprogramma dat is ontworpen door white hats; Brute Ratel is gemaakt voor red teams. Het doel van deze tools is om teams te helpen aanvallen te simuleren om inzicht te krijgen in de tactieken die hackers gebruiken, hiaten in de beveiliging vast te stellen en de juiste wijzigingen aan te brengen. Cobalt Strike, en nu ook Brute Ratel, worden dan ook vaak gebruikt door de slechteriken.