Danh sách này bao gồm các phần mềm độc hại đã được phát triển trong 10 năm qua, thuộc các loại trojan ngân hàng, trojan truy cập từ xa (RAT), phần mềm đánh cắp thông tin và các công cụ phân phối ransomware. Trong báo cáo của mình, CISA và ACSC cho biết hầu hết các phần mềm độc hại hàng đầu này đều được các tin tặc dựa trên cơ sở mã tương ứng của chúng để phát triển thành các biến thể mới với những tính năng được cải tiến và tối ưu hóa. Cụ thể:

Agent Tesla

Được biết đến là RAT và hoạt động ít nhất từ năm 2014, phần mềm độc hại này thường đính kèm trong các liên kết lừa đảo để đánh cắp dữ liệu email, trình duyệt web và máy chủ giao thức truyền tải tệp tin (FTP) của nạn nhân. Agent Tesla cũng có thể chụp ảnh màn hình, video và dữ liệu bộ nhớ đệm của Windows, ngụy trang thành một công cụ hợp pháp để quản lý máy tính cá nhân của người dùng. Các tin tặc phát hiện nay đang tiếp tục bổ sung nhiều chức năng mới, bao gồm khả năng làm xáo trộn (obfuscation) và nhắm mục tiêu đến các ứng dụng bổ sung để đánh cắp thông tin xác thực.

AZORult

Phần mềm độc hại này được phát hiện từ năm 2016, được sử dụng để đánh cắp thông tin từ các hệ thống bị xâm nhập. Nó đã được chào bán trên các diễn đàn ngầm dành cho các tin tặc để lấy cắp dữ liệu trình duyệt, thông tin đăng nhập và thông tin tiền điện tử của nạn nhân. Đến nay, các nhà phát triển của AZORult đang liên tục cập nhật các khả năng của nó.

Formbook

Tương tự như AZORult, FormBook là trojan độc hại xuất hiện lần đầu tiên vào năm 2016, là một ứng dụng đánh cắp thông tin được quảng cáo trên các diễn đàn tin tặc. ForrmBook có khả năng theo dõi thao tác thực hiện trên bàn phím, đánh cắp mật khẩu trình duyệt hoặc email. Lỗ hổng CVE-2021-40444 trong Microsoft là một lỗ hổng điển hình mà các tin tặc khai thác để sử dụng và phát tán phầm mềm độc hại AZORult.

Ursnif

Hoạt động từ năm 2007, Ursnif là một trojan ngân hàng đánh cắp thông tin tài chính, thường được gửi dưới dạng tệp đính kèm độc hại trong các email lừa đảo. Phần mềm độc hại này còn có tên gọi khác là Gozi. Ursnif đã phát triển trong những năm qua bao gồm các phương pháp để tránh sự phân tích trên sandbox và máy ảo, cũng như khả năng tìm kiếm phần mềm mã hóa đĩa để cố gắng khai thác khóa cho các tệp không giải mã dựa trên thông tin từ các bên thứ ba đáng tin cậy. Đáng lưu ý cơ sở hạ tầng của Ursnif vẫn đang hoạt động kể từ tháng 7/2022.

LokiBot

Là một trojan độc hại được gửi dưới dạng tệp đính kèm trong các email lừa đảo, LokiBot lần đầu tiên được phát hiện vào năm 2015, đến nay phần mềm độc hại này vẫn được sử dụng để đánh cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập, ví tiền điện tử và các thông tin quan trọng khác của nạn nhân. Một biến thể LokiBot vào năm 2020 được ngụy trang dưới dạng trình khởi chạy cho trò chơi điện tử được nhiều người sử dụng có tên là Fortnite.

Mouseisland

Phần mềm độc hại này hoạt động kể từ năm 2019, thường được tìm thấy trong các macro của các tệp Microsoft Word và có thể tải xuống các payload độc hại khác. Bên cạnh đó, Mouseisland có thể là giai đoạn khởi đầu của cuộc tấn công sử dụng ransomware.

NanoCore

NanoCore thường được các tin tặc đính kèm trong email dưới dạng ISO bên trong các tệp ZIP độc hại, đôi khi cũng được tìm thấy trong các tệp PDF độc hại được lưu trữ trên các dịch vụ lưu trữ đám mây. Được biết đến từ năm 2013, đây là phần mềm độc hại dạng RAT, được sử dụng để đánh cắp thông tin của nạn nhân, bao gồm cả mật khẩu và email. NanoCore cũng có thể cho phép tin tặc theo dõi máy tính nạn nhân thông qua kích hoạt webcam. Các tin tặc phát triển phần mềm độc hại này tiếp tục cải tiến thêm một số tính năng bổ sung dưới dạng các plug-in có sẵn để mua hoặc như một bộ phần mềm độc hại và được chia sẻ giữa các tin tặc khác nhau.

Qakbot

Ban đầu được xem là một trojan ngân hàng hoạt động từ năm 2007, Qakbot sau đó đã phát triển các khả năng để thực hiện nhiều tính năng như trinh sát mục tiêu, di chuyển ngang hàng, thu thập và lấy dữ liệu cũng như phân phối payload độc hại. Còn được gọi là QBot hoặc Pinksliplot, Qakbot về bản chất là môđun cho phép tin tặc cấu hình theo nhu cầu. Qakbot cũng có thể được sử dụng để tạo mạng botnet. 

Remcos

Remcos là phần mềm độc hại dạng RAT, hoạt động từ năm 2016 và được phân phối như một công cụ phần mềm hợp pháp để quản lý từ xa cũng như thử nghiệm thâm nhập. Remcos là viết tắt của Điều khiển và Giám sát từ xa (Remote Control and Surveillance), bị lợi dụng bởi các tin tặc để tiến hành các chiến dịch lừa đảo hàng loạt trong đại dịch COVID-19 vừa qua, mục đích để đánh cắp dữ liệu cá nhân và thông tin đăng nhập của nạn nhân. Remcos cài đặt một backdoor vào một hệ thống mục tiêu. Sau đó, các tin tặc sử dụng backdoor Remcos để ra lệnh và chiếm đặc quyền của quản trị viên. Đặc biệt, Remcos còn có thể lẩn tránh các chương trình antivirus, duy trì tính bền bỉ và là một ứng dụng như các quy trình hợp pháp trên Windows.

Trickbot

Là Trojan độc hại được phát hiện lần đầu tiên từ năm 2016, TrickBot được phát triển và vận hành bởi một tổ chức bao gồm nhiều tin tặc khác nhau, đã phát triển thành một phần mềm độc hại với nhiều giai đoạn và môđun hóa. Phần mềm độc hại này thường được các tin tặc sử dụng để thiết lập mạng botnet hoặc cấp quyền truy cập ban đầu trên các thiết bị của nạn nhân cho ransowmare Conti hoặc Trojan ngân hàng Ryuk.

Theo các nhà nghiên cứu CISA cho biết: "Vào năm 2020, tội phạm mạng đã sử dụng TrickBot để nhắm mục tiêu đến Lĩnh vực chăm sóc sức khỏe và Y tế cộng đồng, sau đó khởi động các cuộc tấn công ransomware để tiến hành tống tiền các nạn nhân, đánh cắp dữ liệu hoặc làm gián đoạn các dịch vụ chăm sóc sức khỏe. Dựa trên thông tin từ các bên thứ ba đáng tin cậy, cơ sở hạ tầng của TrickBot vẫn hoạt động vào tháng 7/2022".

GootLoader

Hoạt động ít nhất từ năm 2020, GootLoader là một trình tải phần mềm độc hại có liên quan với GootKit. Khi các tin tặc cập nhật các khả năng của nó, GootLoader đã phát triển từ trình tải xuống một payload thành một nền tảng phần mềm với nhiều payload độc hại khác nhau. GootLoader thường là giai đoạn đầu của một sự xâm phạm hệ thống, bằng cách tận dụng việc lây nhiễm các công cụ tìm kiếm, các tin tặc phát triển của GootLoader có thể xâm phạm hoặc tạo ra các trang web có vị trí thứ hạng cao trong kết quả của công cụ tìm kiếm, chẳng hạn như kết quả tìm kiếm của Google.

Trong số 11 phần mềm độc hại, nổi bật có TrickBot, bắt đầu hoạt động như một trojan ngân hàng, tuy nhiên đã phát triển thành một môđun độc hại nguy hiểm, kể từ đó đóng vai trò làm dịch vụ truy cập cho các nhóm tin tặc sử dụng ransowmare, chẳng hạn như nhóm tin tặc Conti khét tiếng bằng cách sử dụng mạng lưới với các thiết bị đã bị nó xâm nhập.   

Ngoài ra, CISA cũng cung cấp một cái nhìn tổng quan về cách thức hoạt động của các loại phần mềm độc hại khác nhau, cách mà các tin tặc phát triển và cải thiện những tính năng, phương thức khai thác của chúng nhằm tiếp tục khai thác và hỗ trợ, phân phối các phần mềm độc hại.

CISA lưu ý: "Các tin tặc phát triển phần mềm độc hại thường hoạt động tại các quốc gia và khu vực có sự lỏng lẻo và quản lý không nghiêm ngặt về các văn bản, quy định pháp lý nhằm chống lại việc phát triển và triển khai các phần mềm độc hại. Một số tin tặc thậm chí còn phân phối các sản phẩm, ứng dụng độc hại của họ như các công cụ an ninh mạng hợp pháp".

Báo cáo của CISA đóng vai trò quan trọng trong việc cung cấp tài liệu hữu ích để xây dựng bản tóm tắt của chính phủ Hoa Kỳ về hoạt động của từng loại phần mềm độc hại. Nó bao gồm thông tin về các khả năng tấn công, thời gian bắt đầu hoạt động, phân loại phần mềm độc hại và phương thức phân phối của chúng.

Để phòng chống các phần mềm độc hại này, CISA khuyến nghị các tổ chức cập nhật các bản vá đối với tất cả các hệ thống và ưu tiên vá các lỗ hổng đã bị khai thác trong thực tế. Đồng thời, cơ quan này cũng khuyến nghị các tổ chức thực thi xác thực đa yếu tố và bảo mật các dịch vụ truy cập từ xa, đảm bảo sao lưu ngoại tuyến và triển khai các kế hoạch đào tạo, nâng cao nhận thức người dùng cuối.