Rodzaje złośliwego oprogramowania obejmują wirusy komputerowe, robaki, konie trojańskie, oprogramowanie ransomware czy oprogramowanie szpiegujące. Te złośliwe programy kradną, szyfrują i usuwają wrażliwe dane; mogą zmieniać lub przejmować podstawowe funkcje obliczeniowe i monitorować aktywność użytkowników końcowych na komputerze. Złośliwe oprogramowanie może infekować sieci i urządzenia i zostało zaprojektowane w taki sposób, aby w jakiś sposób szkodzić ich użytkownikom. W zależności od rodzaju złośliwego oprogramowania i jego celu, ta szkoda może wyglądać inaczej dla użytkownika lub punktu końcowego. W niektórych przypadkach działanie szkodliwego oprogramowania jest stosunkowo łagodne, a w innych może być katastrofalne. Bez względu na metodę, wszystkie rodzaje złośliwego oprogramowania są zaprojektowane do wykorzystywania urządzeń kosztem użytkownika i z korzyścią dla hakera – osoby, która zaprojektowała i wdrożyła złośliwe oprogramowanie. Poniższa grafika numer 2 prezentuje typologię złośliwego oprogramowania.
Rysunek 2. Typologia złośliwego oprogramowania.
Źródło: H. Pawlak, R. Nierebiński, Wybrane aspekty szkodliwego oprogramowania, Zeszyty Naukowe Uniwersytetu Szczecińskiego, (33) 797, 2013, s. 69
Podmioty zajmujące się cyberzagrożeniami nie są równe pod względem zdolności i zaawansowania oraz mają szereg zasobów, szkoleń i wsparcia dla swoich działań. Cyberprzestępcy mogą działać samodzielnie lub w ramach większej organizacji (tj. programu wywiadu państwowego lub zorganizowanej grupy przestępczej). Czasami nawet wyrafinowani aktorzy używają mniej wyrafinowanych i łatwo dostępnych narzędzi i technik, ponieważ mogą one nadal być skuteczne w danym zadaniu lub pomagają utrudniać obrońcom przypisanie danych czynności. Państwa narodowe są często najbardziej wyrafinowanymi podmiotami zajmującymi się zagrożeniami, dysponującymi dedykowanymi zasobami i personelem oraz szeroko zakrojonym planowaniem i koordynacją. Ogólnie uważa się, że cyberprzestępcy mają umiarkowane wyrafinowanie w porównaniu z państwami narodowymi. Niemniej jednak nadal pełnią funkcje planowania i wsparcia, oprócz specjalistycznych możliwości technicznych, które mają wpływ na dużą liczbę ofiar stwarzanych przez nich zagrożeń.
Różne typy złośliwego oprogramowania mają unikalne cechy i cechy. Rodzaje złośliwego oprogramowania obejmują:
- Wirus jest najczęstszym rodzajem złośliwego oprogramowania, które może się uruchomić i rozprzestrzeniać, infekując inne programy lub pliki.
- Robak może samoreplikować się bez programu-hosta i zazwyczaj rozprzestrzenia się bez interakcji ze strony autorów złośliwego oprogramowania.
- Koń trojański jest zaprojektowany tak, aby pojawiał się jako legalny program w celu uzyskania dostępu do systemu. Po aktywacji i instalacji trojany mogą wykonywać swoje złośliwe funkcje.
- Oprogramowanie szpiegujące zbiera informacje i dane o urządzeniu i użytkowniku, a także obserwuje aktywność użytkownika bez jego wiedzy.
- Ransomware infekuje system użytkownika i szyfruje jego dane. Cyberprzestępcy żądają następnie zapłaty lub okupu od ofiary w zamian za odszyfrowanie danych systemu.
- Rootkit uzyskuje dostęp do systemu ofiary na poziomie administratora. Po zainstalowaniu program daje cyberprzestępcom root lub uprzywilejowany dostęp do systemu.
- Wirus typu backdoor lub trojan zdalnego dostępu (RAT) potajemnie tworzy tylne drzwi do zainfekowanego systemu komputerowego, które umożliwiają cyberprzestępcom zdalny dostęp do niego bez ostrzegania użytkownika lub programów zabezpieczających systemu.
- Adware śledzi przeglądarkę użytkownika i historię pobierania z zamiarem wyświetlania wyskakujących okienek lub banerów reklamowych, które skłaniają użytkownika do dokonania zakupu. Na przykład reklamodawca może używać plików cookie do śledzenia stron internetowych odwiedzanych przez użytkownika w celu lepszego ukierunkowania reklam.
- Keyloggery, zwane również monitorami systemu, śledzą prawie wszystko, co użytkownik robi na swoim komputerze. Obejmuje to wiadomości e-mail, otwarte strony internetowe, programy i naciśnięcia klawiszy.
Istnieją inne typy programów, które mają wspólne cechy ze złośliwym oprogramowaniem, ale są wyraźnie różne. Jednym z przykładów jest PUP czyli potencjalnie niechciany program. Są to aplikacje, które nakłaniają użytkowników do zainstalowania ich w ich systemach – takie jak paski narzędzi przeglądarki – ale nie wykonują żadnych złośliwych funkcji po ich zainstalowaniu. Odnotowano jednak przypadki, w których PUP może zawierać funkcje podobne do oprogramowania szpiegującego lub inne ukryte złośliwe funkcje, w którym to przypadku PUP zostanie sklasyfikowany jako złośliwe oprogramowanie.
Twórcy złośliwego oprogramowania wykorzystują różne fizyczne i wirtualne środki do rozpowszechniania złośliwego oprogramowania, które infekuje urządzenia i sieci. Na przykład, złośliwe programy mogą być dostarczane do systemu z dyskiem USB za pośrednictwem popularnych narzędzi współpracy oraz poprzez pobieranie drive-by download, które automatycznie pobierają złośliwe programy do systemów bez zgody lub wiedzy użytkownika. Ataki phishingowe to kolejny powszechny rodzaj dostarczania złośliwego oprogramowania, w którym wiadomości e-mail podszywające się pod legalne wiadomości zawierają złośliwe łącza lub załączniki, które dostarczają plik wykonywalny złośliwego oprogramowania niczego niepodejrzewającym użytkownikom.
Wyrafinowane ataki złośliwego oprogramowania często wykorzystują serwer dowodzenia i kontroli, który umożliwia cyberprzestępcom komunikację z zainfekowanymi systemami, eksfiltrację poufnych danych, a nawet zdalne sterowanie zaatakowanym urządzeniem lub serwerem. Pojawiające się odmiany złośliwego oprogramowania obejmują nowe techniki unikania i zaciemniania, które mają na celu nie tylko oszukać użytkowników, ale także administratorów bezpieczeństwa i produkty chroniące przed złośliwym oprogramowaniem. Niektóre z tych technik obejścia opierają się na prostych taktykach, takich jak używanie serwerów proxy do ukrywania złośliwego ruchu lub źródłowych adresów IP. Bardziej wyrafinowane zagrożenia obejmują polimorficzne złośliwe oprogramowanie, które może wielokrotnie zmieniać swój podstawowy kod, aby uniknąć wykrycia przez narzędzia wykrywania oparte na sygnaturach; techniki anty-piaskownicy, które umożliwiają złośliwemu oprogramowaniu wykrywanie, kiedy jest analizowane i opóźnianie wykonania do czasu, gdy opuści piaskownicę; i bezplikowe złośliwe oprogramowanie, które rezyduje tylko w pamięci RAM systemu, aby uniknąć wykrycia.
Złośliwe oprogramowanie może wpływać zarówno na komputery Mac, jak i na system Windows. Historycznie rzecz biorąc, urządzenia z systemem Windows są uważane za lepszy cel dla złośliwego oprogramowania niż komputery Mac, po części dlatego, że użytkownicy mogą pobierać aplikacje dla systemu macOS za pośrednictwem App Store. Firma Malwarebytes poinformowała w 2020 r., że po raz pierwszy w historii złośliwe oprogramowanie na komputerach Mac wyprzedza złośliwe oprogramowanie na komputerach PC. Wynika to po części z popularności urządzeń Apple, które przyciągają większą uwagę hakerów.
Wyrafinowani aktorzy na arenie zagrożeń cybernetycznych mogą również używać fałszywych flag, dzięki czemu aktor naśladuje znane działania innych aktorów w nadziei, że obrońcy fałszywie przypiszą tę aktywność komuś innemu. Na przykład państwo może używać narzędzia, które uważa się za powszechnie używane przez cyberprzestępców. Zdolność cyberprzestępców do skutecznego zaciemniania swoich działań różni się w zależności od ich poziomu zaawansowania i motywacji. Ogólnie rzecz biorąc, bardziej wyrafinowani aktorzy, tacy jak państwa narodowe i kompetentni hakerzy, będą bardziej biegli w – i mają więcej powodów do – zaciemniania informacji i będą skuteczniej unikać atrybucji niż mniej wyrafinowani cyberprzestępcy.
Złośliwe oprogramowanie można znaleźć w telefonach komórkowych i może zapewniać dostęp do komponentów urządzenia, takich jak kamera, mikrofon, GPS czy akcelerometr. Złośliwe oprogramowanie może zostać zainfekowane na urządzeniu mobilnym, jeśli użytkownik pobierze nieoficjalną aplikację lub kliknie złośliwy link w wiadomości e-mail lub wiadomości tekstowej. Urządzenie mobilne może również zostać zainfekowane przez połączenie Bluetooth lub Wi-Fi. Mobilne złośliwe oprogramowanie częściej znajduje się na urządzeniach z systemem operacyjnym Android niż iOS. Software na urządzenia z systemem Android jest zwykle pobierany za pośrednictwem aplikacji. Oznaki, że urządzenie z Androidem jest zainfekowane złośliwym oprogramowaniem, obejmują nietypowy wzrost wykorzystania danych, szybkie rozładowanie baterii lub połączenia, SMS-y i e-maile wysyłane do kontaktów urządzenia bez wstępnej wiedzy użytkownika. Podobnie, jeśli użytkownik otrzyma wiadomość od rozpoznanego kontaktu, która wydaje się podejrzana, może pochodzić z pewnego rodzaju mobilnego złośliwego oprogramowania, które rozprzestrzenia się między urządzeniami. Urządzenia Apple iOS rzadko są infekowane szkodliwym softwarem, ponieważ Apple sprawdza aplikacje sprzedawane w App Store. Jednak nadal istnieje możliwość zainfekowania urządzenia iOS złośliwym kodem poprzez otwarcie nieznanego łącza znalezionego w wiadomości e-mail lub wiadomości tekstowej.