OpenText ha anunciado el Nastiest Malware of 2022, una clasificación de las mayores ciberamenazas del año. Por quinto año consecutivo, los expertos en inteligencia de amenazas de OpenText Security Solutions peinaron los datos, analizaron diferentes comportamientos y determinaron qué cargas útiles maliciosas son las más desagradables. Emotet recuperó su lugar en la cima, recordando al mundo que, aunque los afiliados pueden ser derribados, las mentes maestras son resistentes.

LockBit evolucionó sus tácticas hacia algo nunca visto: la triple extorsión. El análisis también reveló un aumento de casi el 1100% en el phishing durante los primeros cuatro meses de 2022 en comparación con el mismo periodo de 2021, lo que indica un posible fin de las "vacaciones de los hackers", un periodo de descanso de los hackers tras la ajetreada temporada de vacaciones. Aunque la lista de este año puede designar las cargas útiles en diferentes categorías de malware, es importante tener en cuenta que muchos de estos grupos de malos actores contratan el trabajo de otros.

Esto permite a cada grupo especializarse en su respectiva carga útil y perfeccionarla. 2022 El malware más desagradable: Emotere sigue siendo la red de bots más exitosa que existe, tras un breve cierre el año pasado. Su trabajo consiste en enviar campañas de malspam a miles de millones de correos electrónicos al día.

Crea un punto de apoyo en el ordenador de la víctima, con un malware de seguimiento que luego se moverá lateralmente y comprometerá el resto del entorno antes de traer la carga útil final de ransomware. LockBit es el grupo de ransomware más prolífico y exitoso de este año. Aunque el grupo existe desde hace unos tres años como grupo de ransomware como servicio (RaaS), sigue avanzando en sus tácticas.

Además de tomar datos, pedir un rescate y amenazar con filtrarlos, la triple extorsión añade una tercera capa: un ataque de denegación de servicio distribuido (DDoS) a todo un sistema para bloquearlo por completo. Conti, un malware RaaS, ha estado en el radar de Nastiest Malware durante bastante tiempo. En febrero, Conti publicó una declaración de apoyo en su sitio de filtraciones al gobierno ruso.

Poco después, una cuenta de Twitter, Conti leaks, filtró los chats internos de Conti que se remontaban a casi dos años atrás, lo que provocó el desmantelamiento de su sitio de filtraciones y de sus servidores de mando y control. Desde entonces, Conti se ha reconvertido en múltiples operaciones, entre las que destacan HelloKitty, BlackCat y BlackByte. Qbot (alias Qakbot), posiblemente el troyano de robo de información más antiguo, sigue recibiendo actualizaciones en la actualidad.

Se desplaza por toda la red e infecta todo el entorno mientras "revisa la junta" para permitir el acceso a tantos datos como sea posible para exfiltrarlos para la extorsión y para preparar la etapa final de las cargas útiles del ransomware. Valyria es otra cepa de un troyano bancario convertido en botnet de malspam con archivos adjuntos de correo electrónico, convertido en scripts maliciosos que inicia una cadena de infección que suele desembocar en ransomware. Lo más complicado de Valyria es la complejidad de sus componentes y su capacidad para evadir la detección.

Cobalt Strike y Brute Ratel son herramientas de simulación de ataques adversos. Cobalt Strike es una herramienta de pen testing diseñada por los sombreros blancos; Brute Ratel fue creada para los equipos rojos. El propósito de estas herramientas es ayudar a los equipos a simular ataques para comprender las tácticas que utilizan los hackers, determinar las brechas de seguridad y realizar los cambios adecuados. No es de extrañar que Cobalt Strike, y ahora Brute Ratel, sean utilizadas con frecuencia por los malos.