Złośliwe oprogramowanie (malware) stanowi jedno z najpoważniejszych zagrożeń w erze cyfrowej, przybierając różne formy – od ransomware szyfrującego dane po wyspecjalizowane rootkity ukrywające obecność ataku. Niniejszy raport kompleksowo analizuje główne kategorie malware, ilustrując je konkretnymi przykładami, które odcisnęły piętno na organizacjach i użytkownikach indywidualnych. Przedstawione przypadki pokazują ewolucję technik ataków, od prostych robaków rozprzestrzeniających się przez e-mail po zaawansowane kampanie hybrydowe łączące kradzież danych z szantażem.
Oprogramowanie wymuszające okup (ransomware)
AIDS/PC Cyborg – pionier szantażu cyfrowego
Pierwszy udokumentowany przykład ransomware, AIDS/PC Cyborg, pojawił się w latach 80. XX wieku. Ofiary otrzymywały komunikat informujący o blokadzie dostępu do plików, z żądaniem przesłania 189$ na konto „PC Cyborg Corporation”. Atak ten wykorzystywał prostą technikę szyfrowania nazw plików, uniemożliwiając ich otwarcie bez klucza. Mimo prymitywnych metod w porównaniu z współczesnymi standardami, stanowił kamień milowy w rozwoju przestępczości cyfrowej, demonstrując potencjał szantażu opartego na technologii.
WannaCry – globalna epidemia 2017 roku
Atak ransomware WannaCry w 2017 roku sparaliżował systemy w ponad 150 krajach, w tym brytyjską służbę zdrowia (NHS). Exploit EternalBlue, wyciekły z narzędzi NSA, umożliwił automatyczne rozprzestrzenianie się poprzez luki w protokole SMB systemu Windows. Ofiary otrzymywały żądanie zapłacenia 300–600 USD w Bitcoinie, jednak niska skuteczność finansowa ataku (zarobiono jedynie 79 tys. USD) dowiodła, że motywacją mogło być zakłócenie infrastruktury, a nie zysk.
Ryuk – precyzyjne ataki na korporacje
Ryuk, aktywny od 2018 roku, specjalizuje się w atakach na duże organizacje, wykorzystując łańcuch infekcji oparty o Emotet i TrickBot. Jego operatorzy przeprowadzają długotrwałe rozpoznanie sieci przed aktywacją szyfrowania, co pozwala im uniknąć wykrycia i zmaksymalizować szkody. Ryuk stosuje podwójną ekstorsję – oprócz szyfrowania danych eksfiltruje wrażliwe informacje, grożąc ich upublicznieniem.
Locky – ewolucja dystrybucji przez phishing
Locky, pojawiający się od 2016 roku, ilustruje zmianę strategii dystrybucyjnych. Początkowo rozprzestrzeniał się przez załączniki DOC z makrami, później zaadaptował exploit EternalBlue. Unikalną cechą było generowanie losowych nazw plików (np. 4b6f8c.locky), utrudniających identyfikację zaszyfrowanych danych. Wykorzystywał hybrydowe szyfrowanie RSA-2048 i AES-128, czyniąc odzysk bez klucza praktycznie niemożliwym.
Konie trojańskie (Trojany)
RedLine – specjalista od kradzieży danych
RedLine, dostępny na darknecie za 150 USD, stał się narzędziem masowej kradzieży informacji uwierzytelniających. Jego moduły potrafią eksfiltrować dane z przeglądarek (w tym zapisane hasła), klientów FTP (np. FileZilla) oraz portfeli kryptowalut. Po infekcji przeprowadza inwentaryzację systemu, zbierając dane geolokalizacyjne, konfigurację sprzętu i obecność oprogramowania zabezpieczającego.
Zeus (Zbot) – król trojanów bankowych
Zeus, powstały w 2007 roku, zapoczątkował erę wyspecjalizowanych trojanów bankowych. Infekował systemy poprzez phishing lub exploitację luk, po czym monitorował sesje bankowe, przechwytując dane uwierzytelniające. Jego kod źródłowy, upubliczniony w 2011 roku, stał się podstawą dla dziesiątek mutacji, w tym niebezpiecznego Carberpa.
Remcos – legalne narzędzie w niepowołanych rękach
Remcos, początkowo sprzedawany jako narzędzie zdalnej administracji, został przejęty przez cyberprzestępców. Oferuje funkcje przechwytywania klawiszy, zdalnej kontroli pulpitu oraz pobierania plików z dysków. W 2023 roku zajął drugie miejsce w rankingu najczęściej wykrywanych trojanów.
Oprogramowanie szpiegujące (Spyware)
Pegasus – państwowy cyberszpieg
Opracowany przez NSO Group, Pegasus stał się symbolem nadużyć technologii szpiegowskich. Infekuje urządzenia poprzez zero-click exploits, wymagające jedynie wysłania wiadomości SMS lub MMS. Po instalacji uzyskuje dostęp do mikrofonu, kamery, lokalizacji GPS i wszystkich aplikacji, w tym szyfrowanych komunikatorów.
Gh0st RAT – długowieczny szpieg
Aktywny od 2008 roku, Gh0st RAT pozwala na zdalną kontrolę nad zainfekowanymi komputerami. Wykorzystywany był przeciwko chińskiej opozycji i firmom zachodnim, zbierając dane strategiczne i informacje przemysłowe. Jego moduł keyloggera rejestruje nawet 2000 znaków na minutę.
TrickBot – modularna platforma szpiegowska
TrickBot ewoluował od prostego trojana bankowego do modułowej platformy dostarczającej m.in.:
– Webinject – modyfikację stron bankowych w czasie rzeczywistym;
– PowerShell Empire – eskalację uprawnień w sieci korporacyjnej;
– Anchor – komunikację poprzez DNS, omijającą tradycyjne zapory.
Robaki internetowe (Worms)
Conficker – niezabliźniona rana
Od 2008 roku Conficker infekuje systemy Windows, wykorzystując luki w usługach SMB i słabe hasła administratorów. Szacuje się, że w szczytowym momencie botnet Confickera kontrolował ponad 10 milionów hostów. Pomimo globalnej koalicji Conficker Working Group, worm pozostaje aktywny, głównie w krajach rozwijających się.
Mydoom – rekordzista prędkości
Mydoom z 2004 roku do dziś utrzymuje tytuł najszybciej rozprzestrzeniającego się robaka – 25% wszystkich e-maili w szczytowym okresie zawierało jego kopię. Zainfekowane załączniki .zip lub .exe rozsyłały się automatycznie z komputerów ofiar, paraliżując korporacyjne serwery pocztowe.
Keyloggery – cisi złodzieje haseł
Keyloggery, takie jak HawkEye, rejestrują nie tylko naciśnięcia klawiszy, ale również:
– zrzuty ekranu co określony czas;
– dane ze schowka systemowego;
– aktywność myszy (w tym współrzędne kursora).
Zaawansowane wersje potrafią omijać ochronę antykeyloggerową poprzez przechwytywanie sygnałów na poziomie sprzętowym.
Oprogramowanie reklamowe (Adware)
Bonzi Buddy – pozornie nieszkodliwy asystent w postaci fioletowej małpki – zbierał dane przeglądania i generował targetowane reklamy, łamiąc standardy prywatności. CoolWebSearch przejmował wyniki wyszukiwania, przekierowując ruch na strony partnerskie, generując przychody z afiliacji.
Rootkity – niewidzialni wrogowie
ZeroAccess – rootkit stworzony do budowy botnetu wydobywającego kryptowaluty. Ukrywał procesy związane z kopaniem Bitcoinów, zmniejszając wykrywalność poprzez modyfikację tabeli SSDT. Stuxnet – militarny rootkit uszkadzający wirówki nuklearne w Iranie. Atakował systemy SCADA poprzez luki w sterownikach SIMATIC WinCC.
Botnety – armie zombie
Botnet Mirai z 2016 roku pokazał słabość IoT, infekując 600 000 urządzeń poprzez domyślne hasła. Użyty w ataku DDoS na Dyn osiągnął moc 1.2 Tbps, paraliżując Twittera, Netflixa i Reddita. Emotet – początkowo bankowy trojan – przekształcił się w platformę wynajmującą dostęp do botnetu innym grupom przestępczym.
Wnioski
Ewolucja złośliwego oprogramowania odzwierciedla wyścig technologiczny między cyberprzestępcami a branżą bezpieczeństwa. Współczesne kampanie łączą różne typy malware (np. ransomware + spyware), wykorzystując sztuczną inteligencję do automatycznej adaptacji. Obrona wymaga holistycznego podejścia – od edukacji użytkowników po zaawansowane systemy EDR monitorujące anomalie behawioralne. Przyszłość prawdopodobnie przyniesie wzrost ataków na infrastrukturę krytyczną i urządzenia IoT, gdzie tradycyjne metody ochrony często zawodzą.
