OpenText Security Solutions wollte es zum fünften Mal in Folge genau wissen und setzte sein Threat-Intelligence-Experten-Team darauf an, ein Ranking zu erstellen, welche Schadcodes in 2022 die erfolgreichsten und meist verbreitetsten Übeltäter waren. Dafür analysierte es globale Daten und suchte nach verräterischen Informationen und Mustern.
Dr. Dieter Kehl, Director Sales DACH/CEE/MEA bei OpenText Security Solutions, stellt die sechs hinterlistigsten, hartnäckigsten und bösesten Malware-Vertreter des vergangenen Jahres vor:
- Emotet: Der Dauerbrenner unter den Schadcodes
Nachdem Lemonduck 2021 den ersten Platz des Malware-Rankings belegt hat, kehrt Emotet nun wieder zurück an die Spitze. Der 2014 erstmals identifizierte Schädling bleibt das erfolgreichste Botnet der Welt – und dass, obwohl es 2022 für kurze Zeit von der Bildfläche verschwand.
Sein Ziel: Malspam – also Malware enthaltende Spam-Mails – verbreiten und täglich an Milliarden von Empfängern senden. Der Virus setzt sich in den PCs der Opfer fest und öffnet die Schleusen für weitere Malware, die den Rest der Umgebung kompromittiert, bevor Ransomware schließlich die Systeme sperrt.
- LockBit: Dreifach-Angriff
LockBit trat vor drei Jahren erstmals als Ransomware-as-a-Service-Gruppe (RaaS) ins Rampenlicht. Seitdem hat sie ihre Methoden und Taktiken kontinuierlich weiterentwickelt und angepasst. In diesem Jahr konnte sich LockBit als die ergiebigste Ransomware profilieren. Unter anderem versuchte die Gruppe Lösegeldsummen von 60 Millionen US-Dollar zu erpressen.
Das besondere an ihrer Vorgehensweise: Neben dem Datendiebstahl und der Erpressung greifen die Akteure zusätzlich auf DDoS-Attacken (Distributed Denial of Service) zurück, um das gesamte System vollständig lahmzulegen.
- Conti: Manchmal kommen sie wieder
Conti, eine weitere RaaS-Malware, ist seit geraumer Zeit auf dem Radar der Experten von OpenText Security Solutions. Im Februar 2022 sicherte die Gruppe auf ihrer Webseite, auf der sie ihre Leaks veröffentlicht, der russischen Regierung ihre Unterstützung zu. Kurz darauf teilte ein anonymes Twitter-Profil interne, teilweise fast zwei Jahre alte Chat-Verläufe von Conti.
Diese Aktion hatte das vorläufige Ende sowohl der Leak-Seite als auch der Server zur Folge. Doch der Erfolg währte nicht lang: Conti durchlief ein Rebranding und tauchte in Form anderer Schadprogramme wieder auf – insbesondere HelloKitty, BlackCat und BlackByte.
- Qbot: Aus alt mach neu
Als einer der ältesten Trojaner wird Qbot – oder auch Qakbot – selbst heute noch regelmäßig weiterentwickelt. Der Schadcode wandert durch das Netzwerk, späht die gesamte Umgebung aus, infiziert sie und öffnet auf diese Weise die Tore, durch die weitere Ransomware ins Netzwerk geschleust wird. Im Zuge dessen stehlen die Akteure möglichst viele Daten und leiten die letzte Phase ihres Angriffs ein: das Blockieren sämtlicher Systeme und Datenbanken.
- Valyria: Die Gefahr aus dem E-Mail-Anhang
Valyria begann ehemals als Banking-Trojaner. Im Laufe der Zeit wurde Valyria dann zu einem Malspam Botnet umfunktioniert. Die infizierten E-Mail-Anhänge verwandeln sich in Scripts, die eine Infektionskette in Gang setzen. Diese erreicht in der Regel mit Ransomware ihren Höhepunkt. Das knifflige an der Sache: Der Aufbau von Valyria ist sehr komplex, wodurch das Schadprogramm in vielen Fällen einer Enttarnung entgeht.
- Cobalt Strike und Brute Ratel: Wenn die Bösen vom Guten Gebrauch machen
Hinter diesen Namen verbergen sich Tools, die Cyber-Angriffe simulieren: Cobalt Strike ist ein Tool für Penetrationstest, das von White-Hat-Hackern entwickelt wurde; sogenannte Red Teams – „ethische Hacker“ – setzen Brute Ratel ein, um die Verteidigungsmechanismen von Unternehmen zu durchleuchten.
Ziel ist es, anhand der Simulationen die Taktiken hinter cyber-kriminellen Attacken zu verstehen, Schwachstellen in der Unternehmens-IT zu finden und entsprechende Sicherheitsmaßnahmen einzuleiten. In diesem Jahr nahm die Zahl der Akteure zu, die diese Tools für eher unethischere Zwecke nutzten.