Złośliwe oprogramowanie (malware) stanowi jedno z najpoważniejszych zagrożeń w erze cyfrowej, przybierając różne formy – od ransomware szyfrującego dane po wyspecjalizowane rootkity ukrywające obecność ataku. Niniejszy raport kompleksowo analizuje główne kategorie malware, ilustrując je konkretnymi przykładami, które odcisnęły piętno na organizacjach i użytkownikach indywidualnych. Przedstawione przypadki pokazują ewolucję technik ataków, od prostych robaków rozprzestrzeniających się przez e-mail po zaawansowane kampanie hybrydowe łączące kradzież danych z szantażem.

Oprogramowanie wymuszające okup (ransomware)

AIDS/PC Cyborg – pionier szantażu cyfrowego

Pierwszy udokumentowany przykład ransomware, AIDS/PC Cyborg, pojawił się w latach 80. XX wieku. Ofiary otrzymywały komunikat informujący o blokadzie dostępu do plików, z żądaniem przesłania 189$ na konto „PC Cyborg Corporation”. Atak ten wykorzystywał prostą technikę szyfrowania nazw plików, uniemożliwiając ich otwarcie bez klucza. Mimo prymitywnych metod w porównaniu z współczesnymi standardami, stanowił kamień milowy w rozwoju przestępczości cyfrowej, demonstrując potencjał szantażu opartego na technologii.

WannaCry – globalna epidemia 2017 roku

Atak ransomware WannaCry w 2017 roku sparaliżował systemy w ponad 150 krajach, w tym brytyjską służbę zdrowia (NHS). Exploit EternalBlue, wyciekły z narzędzi NSA, umożliwił automatyczne rozprzestrzenianie się poprzez luki w protokole SMB systemu Windows. Ofiary otrzymywały żądanie zapłacenia 300–600 USD w Bitcoinie, jednak niska skuteczność finansowa ataku (zarobiono jedynie 79 tys. USD) dowiodła, że motywacją mogło być zakłócenie infrastruktury, a nie zysk.

Ryuk – precyzyjne ataki na korporacje

Ryuk, aktywny od 2018 roku, specjalizuje się w atakach na duże organizacje, wykorzystując łańcuch infekcji oparty o Emotet i TrickBot. Jego operatorzy przeprowadzają długotrwałe rozpoznanie sieci przed aktywacją szyfrowania, co pozwala im uniknąć wykrycia i zmaksymalizować szkody. Ryuk stosuje podwójną ekstorsję – oprócz szyfrowania danych eksfiltruje wrażliwe informacje, grożąc ich upublicznieniem.

Locky – ewolucja dystrybucji przez phishing

Locky, pojawiający się od 2016 roku, ilustruje zmianę strategii dystrybucyjnych. Początkowo rozprzestrzeniał się przez załączniki DOC z makrami, później zaadaptował exploit EternalBlue. Unikalną cechą było generowanie losowych nazw plików (np. 4b6f8c.locky), utrudniających identyfikację zaszyfrowanych danych. Wykorzystywał hybrydowe szyfrowanie RSA-2048 i AES-128, czyniąc odzysk bez klucza praktycznie niemożliwym.

Konie trojańskie (Trojany)

RedLine – specjalista od kradzieży danych

RedLine, dostępny na darknecie za 150 USD, stał się narzędziem masowej kradzieży informacji uwierzytelniających. Jego moduły potrafią eksfiltrować dane z przeglądarek (w tym zapisane hasła), klientów FTP (np. FileZilla) oraz portfeli kryptowalut. Po infekcji przeprowadza inwentaryzację systemu, zbierając dane geolokalizacyjne, konfigurację sprzętu i obecność oprogramowania zabezpieczającego.

Zeus (Zbot) – król trojanów bankowych

Zeus, powstały w 2007 roku, zapoczątkował erę wyspecjalizowanych trojanów bankowych. Infekował systemy poprzez phishing lub exploitację luk, po czym monitorował sesje bankowe, przechwytując dane uwierzytelniające. Jego kod źródłowy, upubliczniony w 2011 roku, stał się podstawą dla dziesiątek mutacji, w tym niebezpiecznego Carberpa.

Remcos – legalne narzędzie w niepowołanych rękach

Remcos, początkowo sprzedawany jako narzędzie zdalnej administracji, został przejęty przez cyberprzestępców. Oferuje funkcje przechwytywania klawiszy, zdalnej kontroli pulpitu oraz pobierania plików z dysków. W 2023 roku zajął drugie miejsce w rankingu najczęściej wykrywanych trojanów.

Oprogramowanie szpiegujące (Spyware)

Pegasus – państwowy cyberszpieg

Opracowany przez NSO Group, Pegasus stał się symbolem nadużyć technologii szpiegowskich. Infekuje urządzenia poprzez zero-click exploits, wymagające jedynie wysłania wiadomości SMS lub MMS. Po instalacji uzyskuje dostęp do mikrofonu, kamery, lokalizacji GPS i wszystkich aplikacji, w tym szyfrowanych komunikatorów.

Gh0st RAT – długowieczny szpieg

Aktywny od 2008 roku, Gh0st RAT pozwala na zdalną kontrolę nad zainfekowanymi komputerami. Wykorzystywany był przeciwko chińskiej opozycji i firmom zachodnim, zbierając dane strategiczne i informacje przemysłowe. Jego moduł keyloggera rejestruje nawet 2000 znaków na minutę.

TrickBot – modularna platforma szpiegowska

TrickBot ewoluował od prostego trojana bankowego do modułowej platformy dostarczającej m.in.:
Webinject – modyfikację stron bankowych w czasie rzeczywistym;
– PowerShell Empire – eskalację uprawnień w sieci korporacyjnej;
Anchor – komunikację poprzez DNS, omijającą tradycyjne zapory.

Robaki internetowe (Worms)

Conficker – niezabliźniona rana

Od 2008 roku Conficker infekuje systemy Windows, wykorzystując luki w usługach SMB i słabe hasła administratorów. Szacuje się, że w szczytowym momencie botnet Confickera kontrolował ponad 10 milionów hostów. Pomimo globalnej koalicji Conficker Working Group, worm pozostaje aktywny, głównie w krajach rozwijających się.

Mydoom – rekordzista prędkości

Mydoom z 2004 roku do dziś utrzymuje tytuł najszybciej rozprzestrzeniającego się robaka – 25% wszystkich e-maili w szczytowym okresie zawierało jego kopię. Zainfekowane załączniki .zip lub .exe rozsyłały się automatycznie z komputerów ofiar, paraliżując korporacyjne serwery pocztowe.

Keyloggery – cisi złodzieje haseł

Keyloggery, takie jak HawkEye, rejestrują nie tylko naciśnięcia klawiszy, ale również:
– zrzuty ekranu co określony czas;
– dane ze schowka systemowego;
– aktywność myszy (w tym współrzędne kursora).
Zaawansowane wersje potrafią omijać ochronę antykeyloggerową poprzez przechwytywanie sygnałów na poziomie sprzętowym.

Oprogramowanie reklamowe (Adware)

Bonzi Buddy – pozornie nieszkodliwy asystent w postaci fioletowej małpki – zbierał dane przeglądania i generował targetowane reklamy, łamiąc standardy prywatności. CoolWebSearch przejmował wyniki wyszukiwania, przekierowując ruch na strony partnerskie, generując przychody z afiliacji.

Rootkity – niewidzialni wrogowie

ZeroAccess – rootkit stworzony do budowy botnetu wydobywającego kryptowaluty. Ukrywał procesy związane z kopaniem Bitcoinów, zmniejszając wykrywalność poprzez modyfikację tabeli SSDT. Stuxnet – militarny rootkit uszkadzający wirówki nuklearne w Iranie. Atakował systemy SCADA poprzez luki w sterownikach SIMATIC WinCC.

Botnety – armie zombie

Botnet Mirai z 2016 roku pokazał słabość IoT, infekując 600 000 urządzeń poprzez domyślne hasła. Użyty w ataku DDoS na Dyn osiągnął moc 1.2 Tbps, paraliżując Twittera, Netflixa i Reddita. Emotet – początkowo bankowy trojan – przekształcił się w platformę wynajmującą dostęp do botnetu innym grupom przestępczym.

Wnioski

Ewolucja złośliwego oprogramowania odzwierciedla wyścig technologiczny między cyberprzestępcami a branżą bezpieczeństwa. Współczesne kampanie łączą różne typy malware (np. ransomware + spyware), wykorzystując sztuczną inteligencję do automatycznej adaptacji. Obrona wymaga holistycznego podejścia – od edukacji użytkowników po zaawansowane systemy EDR monitorujące anomalie behawioralne. Przyszłość prawdopodobnie przyniesie wzrost ataków na infrastrukturę krytyczną i urządzenia IoT, gdzie tradycyjne metody ochrony często zawodzą.

Autor
Adam M.
Pasjonat cyberbezpieczeństwa z 20-letnim stażem w branży IT. Swoją przygodę rozpoczynał od legendarnego mks_vir, a dziś odpowiada za ochronę systemów w renomowanej polskiej instytucji finansowej. Specjalizuje się w analizie zagrożeń i wdrażaniu polityk bezpieczeństwa. Ceni prywatność, dlatego o szczegółach mówi niewiele – woli, aby przemawiały za niego publikacje i wyniki pracy.