Hotlandskapet består av en bred mångfald av attacker med olika grad av sofistikering från de simplaste lurendrejerierna till cyberspionage på statsnivå. Med det sagt behöver dock företagen prioritera sina försvar mot de vanligaste hoten, som med störst sannolikhet kommer att påverka dem och deras anställda.

I den nyligen publicerade rapporten State of Malware från cybersäkerhetsföretaget Malwarebytes presenteras fem utvalda hot som företaget anser vara arketyper för de mest vanliga familjerna av skadlig kod som observerades under 2022:

  • Lockbit gisslanprogram
  • Emotet botnätverk
  • Soc Gholish drive-by-nedladdning
  • Android droppers
  • Mac OS Genio adware

”Att skydda ditt företag under resten av 2023 kräver att du förstår en sak: De farligaste cyberhoten du kommer att möta är inte de konstigaste attackerna du ser en vanlig vecka eller de mest sofistikerade eller iögonfallande. De är inte ens de mest förhärskande”, skriver Malwarebytes i sin rapport. ”De farligaste hoten kommer istället från en uppsättning kända, mogna verktyg och taktiker som ett helt ekosystem av cyberkriminella lutar sig mot för att dra in miljarder dollar per år”.

Lockbit är kungen av skadlig kod

Förra året såg stora förändringar inom landskapet för gisslanattacker då mycket framgångsrika gäng som Conti stängde ned sina verksamheter. Tomrummet fylldes snabbt av en uppsjö andra, mindre grupper. De som stod ut i särklass mest var Lockbit – en ransomware-som-tjänst-verksamhet som innoverade i snabb takt och drog till sig många affilierade.

De affilierade är kommandosoldater i den cyberkriminella undervegetationen. Vare sig det rör sig om ensamma hackare eller grupper av specialiserade individer tar de hand om det initiala anfallet och de laterala rörelserna innan de installerar det gisslanprogram de är affilierade med, och får en rejäl del av lösensumman som offren betalar. Under tiden är det skaparna av gisslanprogrammet som står för själva mjukvaran, infrastrukturen och sköter förhandlingarna med offren.

Lockbit är ingen nytt hot utan har funnits sen 2019, ursprungligen under namnet ABCD. De första två åren av sin existens överskuggades verksamheten av större och mer fruktsamma grupper som Maze, Ryuk och Conti som lyckades dra till sig de flesta hackertalangerna.

Men detta började ändras under 2021 med släppet av Lockbit 2.0 och kom att explodera förra året när Lockbit 3.0 lanserades. Hela programmet för affilierade omarbetades då för att göra det mer attraktivt för dem som sökte nytt jobb i dyningarna efter Contis frånfälle.

”Lockbit lägger en hel del resurser på marknadsföring mot affilierade, håller sig med en smart webbsida på den mörka sidan, utför pr-trick och betalar belöningar till dem som hittar buggar och andra felaktigheter i deras mjukvara”, säger Malwarebytes analytiker. ”De säger att de har 100 affilierade, så om en åker fast stör det inte Lockbits verksamhet”.

Enligt Malwarebytes telemetri var Lockbit den i särklass mest fruktsamma verksamheten inom gisslanprogram med fler än tre och en halv gånger så många offer än tvåan ALPHV. All som allt var Lockbit involverat i en tredjedel av alla ransomwareincidenter under 2022 och den största lösensumman som krävdes låg på 50 miljoner dollar.

Lockbits affilierade slår till mot alla typer av affärsverksamheter, från små juristfirmor till multinationella företag, och de använder allehanda metoder för att komma in – allt mellan svaga inloggningsuppgifter för fjärranslutning (RDP och VPN), till att utnyttja sårbarheter i publika system och nätfiske med skadlig kod i bifogade filer. Väl inne förstör de säkerhetskopior och använder teknik för laterala rörelser för att få tillgång till administratörsrättigheter.

”Om du kan förstå och bemöta Lockbit kommer du till stor del reducera risken för någon gisslanattack mot din organisation”, säger Malwarebytes analytiker.

Emotet – det odödliga botnätet

En annan stor spelare i den cyberkriminella undervegetationen är Emotet, ett botnät som tjänar som en leveransplattform för andra familjer av skadlig kod, inklusive några av de mest fruktsamma gisslan- och trojanverksamheterna under senare år.

Emotet såg dagens ljus 2014 och har genomgått många iterationer sen dess första steg som banktrojan – ett program med fokus på att stjäla inloggningsuppgifter till bankkonton. När den grenen inom cyberbrott minskade i popularitet sadlade botnätets ägare om till distribution av skadlig kod. Emotets modulära arkitektur gör den mycket flexibel och enkel att anpassa för olika ändamål.

Den europeiska polismyndigheten Europol har kallat Emotet för världens farligaste skadliga kod. År 2021 slog rättsvårdande myndigheter från USA, Kanada, Tyskland och Nederländerna med flera till mot Emotet och lyckades ta kontroll över botnätets kommandoservrar. Lyckan blev dock kortvarig och Emotet kom snabbt på fötter efter en omstrukturering och visade hur motståndskraftigt det är.

I november 2022 återkom nätverket med en ny iteration efter ett uppehåll på fyra månader och började distribuera hundratusentals smittade e-postmeddelanden varje dag. Med e-post som den främsta leveransmekanismen har Emotets skapare specialiserat sig på spamfällor och tekniker som trådkapning och anpassningar till lokala språk. Den senaste spamkampanjen distribuerade arkiv med Excelfiler som innehåller skadliga makron.

Efter att ha installerat sig kommer Emotet att installera ytterligare skadlig kod i de smittade systemen. Tidigare installerades Trickbot, ett annat botnät i nära relation till gisslanprogrammet Ryuk. I de senaste kampanjerna har botnätet setts installera kryptobrytaren XMRig och trojanen IcedID, som i sin tur är associerat med andra familjer av skadlig kod. Emotet ägnar sig även åt att stjäla konton i Outlook på lokala datorer och använder dessa för att skicka mer spam och för att försöka knäcka lösenord för nätverkslagring.

”Eftersom det infekterar och återinfekterar andra maskiner med sådan kraft är Emotet extremt komplicerat att bli av med för en organisation, och det är mycket kostsamt”, säger analytikerna på Malwarebytes. ”I staden Allentown i delstaten Pennsylvania orsakade ett enda ödesdigert klick ett utbrott som enligt rapporterna kostade en miljon dollar att sanera”.

Precis som Lockbit är en arketyp för moderna gisslanprogram, är Emotet en arketyp för botnätverk som fungerar som leveransplattformar för skadlig kod och är leverantörer av initiala angrepp mot företagens nätverk.

Drive-by-nedladdningar lever och frodas med Soc Gholish

Drive-by-nedladdningar är ett uttryck för skadlig kod som levereras genom webbsajter istället för e-post. Förr i tiden då insticksmoduler till webbläsare som Java, Flash Player och Adobe Reader var populära utnyttjade angripare sårbarheter i gamla versioner av dessa moduler som teknik för drive-by-nedladdningar. Men metoden lever vidare även om det numer behövs interaktion med användaren och en nypa social manipulation.

Soc Gholish är en så kallad RAT (remote access trojan) som används som en lastare av skadlig kod. Den distribueras typiskt genom falska popup-rutor med meddelanden om viktiga uppdateringar för webbläsare och visas på komprometterade webbsidor och i skadliga annonser. Om användaren accepterar den falska uppdateringen får de oftast en zip-fil innehållandes ett Javascript-program. Om den körs utför programmet en rekognosering på den lokala maskinen och nätverket och installerar någon annan skadlig kod, oftast ett gisslanprogram.

”Soc Gholish är enkel, med dess användning av social manipulation och anpassning för olika måltavlor gör den tillräckligt effektiv för att kompromettera högprofilerade företag och till och med samhällskritisk infrastruktur. Dess slutmål är att leverera gisslanprogram, och den är ett hot som bör behandlas med respekt”, säger Malwarebytes analytiker.

Android droppers

När mobila enheter utgör en stor del av de flesta företags flotta av enheter, bör hot mot operativsystemet Android inte ignoreras. Så kallade Android droppers är trojaner som oftast maskeras som legitima applikationer eller gratisversioner av betalappar och distribueras från tredjepartsbutiker för appar och olika webbsajter som användare besöker.

Generellt är de inte lika enkla att installera som skadlig kod för Windows eftersom användarna måste ändra de grundläggande säkerhetsinställningarna och ignorera varningar. Men det finns exempel på skadliga appar som som distribuerats genom den officiella Google Play-butiken. Dessa droppers kan användas för att installera andra hot som dolda annonser, banktrojaner och appar som stjäl lösenord, e-post, spelar in ljud och tar bilder.

”Under 2022 stod droppers för 14 procent av alla detektioner på Android. Andra typer av skadlig kod är med spridd, men droppers utgör den största faran för organisationer”, skriver Malwarebytes i sin rapport.

Adware är det mest förhärskande hotet mot Macar

Jämfört med Windows är ekosystemet av skadlig kod för Mac OS mycket mindre, men det finns ändå hot. En av de mer förhärskande typerna är så kallad adware – applikationer som injicerar oönskade annonser. Ett av de äldsta av dessa program kallas Genio och används för att kapa webbsökningar.

Liksom Android droppers distribueras de flesta skadliga annonser eller annan skadlig kod för Mac OS som falska applikationer eller uppdateringar. Genio brukade maskera sig som en uppdatering för Flash Player eller så låg det paketerat i video codecs, men i dessa dagar utger det sig för att vara en app för att läsa pdf:er eller konvertera videoformat.

Om Genio väl installerat sig kan det bli mycket svårt att ta bort eftersom det gömmer sig på ett väldigt smart sätt. Det imiterar systemfiler och filer som hör till andra applikationer och det använder sig av kodförvirring. Genio injicerar bibliotek i andra processer, det exploaterar svagheter i systemet för att ge sig självt rättigheter, det installerar insticksmoduler i webbläsare och det manipulerar användarnas nyckelkedjor för lösenord.

”Även om det klassificeras som adware har Genio installerat en uppsjö av skadlig-kod-liknande beteenden för att gräva vidare i datorn det installerat sig på och petar hål i försvaret och äventyrar säkerheten, allt för att göra sig extremt svårt att avlägsna”, säger Malwarebytes analytiker om detta hot som stod för en av tio upptäckta hot på Mac OS förra året.