EINFÜHRUNG.

Intelligente Schadsoftware ist sowohl ein Werkzeug für Cyberangriffe (offensiv wie defensiv) als auch eine Bedrohung für die Menschheit (sowohl für offensive als auch für defensive Schadsoftware). Sie kann als Cyberwaffe in zwei Kategorien eingeteilt werden: offensiv (bösartig, wie bei offensiver Schadsoftware) oder defensiv (neutralisierend, abschwächend, aufspürend und blockierend gegenüber Cyberangriffen im Allgemeinen und insbesondere solchen durch offensive Schadsoftware). Dabei zeigt sie eine beispiellose Dynamik (wie beispielsweise bei defensiver intelligenter Schadsoftware oder DAIM/MIAD). Ob wir es wollen oder nicht: Offensiv-Schadsoftware ist in unserer vernetzten digitalen Gesellschaft allgegenwärtig. Sie tritt in vielfältigen und immer besser versteckten Formen auf, darunter Spyware/Creepware, Zeitbomben, Botnetze, Spam-/Phishing-E-Mails, Browser-Hijacker, Trojaner, Würmer, Viren, Rootkits, Backdoors, Adware, infizierte Websites, manche öffentliche USB-Ladegeräte für Mobiltelefone und vieles mehr.Cybersicherheit-249-2

Charakterisierung der Dimensionen offensiver Malware.

Offensive Malware greift alles an; nichts und niemand ist verschont – weder Menschen, Tiere, die Umwelt, Software, Firmware, Hardware, Infrastruktur, Telekommunikation (wie z. B. SWIFT (Society for Worldwide Interbank Financial Telecommunication), ein effektives Werkzeug zur Integration von Diensten wie Interbankenzahlungen, Investitionen, Überweisungen, Außenhandel, Schecks usw.), Verkehr, Fahrzeuge, Gesundheitswesen, Industrie, OT, IT, Satelliten, Internet der Dinge (IoT) usw. Ein Beispiel für die Anwendung im Bereich der Cybersicherheit ist MIAD (Advanced Defensive Intelligent Malware). MIAD wurde mit KI, Cyberresilienz, Anpassungsfähigkeit, Autonomie, Selbstkontrolle, Update-Fähigkeiten usw. entwickelt, um jegliche Versuche bösartiger Mikroaktionen durch offensive Cyberangriffe jeglicher Art (offensive Malware, KI-Bots, Menschen usw.) zu neutralisieren.

Cybersicherheit-249-3Im ObservaCiber-Bericht (ONTSI/Nationales Observatorium für Technologie und Gesellschaft und Incibe) für das letzte Quartal 2021 in Spanien gaben nur 25 % der Unternehmen an, in den vorangegangenen zwölf Monaten ein Cybersicherheitsprogramm bzw. eine formale Cybersicherheitsrichtlinie implementiert zu haben. Laut der 25. jährlichen globalen CEO-Umfrage von PwC stehen Cyberrisiken (wie z. B. Cyberangriffe, die Innovation und Umsatz beeinträchtigen können) mit 49 % an erster Stelle der Sorgen des Top-Managements. Eine globale Studie von Trend Micro und Sapio Research ergab, dass 90 % der IT-Manager der Ansicht sind, dass Unternehmen die Cybersicherheit zugunsten anderer Ziele (digitale Transformation, Produktivität usw.) vernachlässigen, und 49 % der Befragten gaben an, dass Cyberrisiken weiterhin als IT-Problem und nicht als Geschäfts-/Industrierisiko behandelt werden. Die Dimensionen von Schadsoftware lassen sich aus verschiedenen Perspektiven betrachten. Beispielsweise können wir hinsichtlich der Auswirkungen Folgendes identifizieren: (1) Auswirkungen (auf Ressourcen und Informationen) durch Cyberangriffe im Allgemeinen und durch Schadsoftware im Besonderen. Diese lassen sich wie folgt charakterisieren: (i) Entdeckung. (i) Offenlegung von Informationen. Informationen, Daten, Erkenntnisse usw. Die Offenlegung von Informationen ermöglicht Malware typischerweise den Zugriff auf Informationen, auf die sie normalerweise keinen Zugriff hat. Die Offenlegung unautorisierter Informationen kann zu weiteren Sicherheitslücken führen. (iii) Zerstörung von Daten, Personen, Ressourcen aller Art usw. Die Zerstörung von Informationen erfolgt in der Regel, wenn Malware Dateien gelöscht oder den Zugriff darauf gesperrt hat. Die Zerstörung hat gravierende Folgen, da sie die Löschung der Datei oder die Entfernung von Informationen des Opfers beinhaltet. (iv) Verzerrung von Informationen. Kommunikation, Realität usw. Informationsverzerrung tritt typischerweise auf, wenn ein Cyberangriff eine Dateimodifikation verursacht hat. Wenn ein Malware-Cyberangriff Verzerrungen beinhaltet, verändert er die Daten in einer Datei oder die Informationen des Opfers. Verzerrungen können Fehlinformationen erzeugen. (v) Störung von Geräten, Software, Personen usw. (vi) Unterbrechung. Prozesse, Kommunikationen durch Paketflutung, Funkstörungen usw. Eine Dienstunterbrechung ist üblicherweise auf einen DoS/DDoS-Angriff zurückzuführen. Bei einem Malware-Angriff, der eine Unterbrechung zur Folge hat, handelt es sich um eine Änderung oder den Entzug des Zugriffs auf das Opfer oder dessen Informationen. (vii) Übernahme Cybersicherheit-249-4. Informationen, Geräte usw. werden entzogen, Dienste (für Personen, Prozesse, Server usw.) werden verweigert. Dateien, Ordner, Festplatten werden verschlüsselt und beispielsweise wird Lösegeld gefordert. (viii) Modifizierung/Änderung von Informationen. Konfigurationswerte/Einstellungen, Daten werden verändert, Fehlinformationen/Trolle/Bots/Deepfakes usw. werden verbreitet. (ix) Störung. In der Kommunikation zwischen Entitäten, in Lieferketten usw. (x) Aktives und passives heimliches Abhören, z. B. zur Datenexfiltration, Doxware oder Erpressung durch Offenlegung usw. (xi) Reduzierung der Benutzerkapazität (Betrieb, CPU, Qualität usw.). (xii) Täuschung. (xiii) Nutzung von Desinformation, Deepfakes, synthetischen Medien, Trollen usw. (xiv) Schäden. Reputation, Gesundheit, QoS usw. (xiv) Störungen. Software, Firmware, Hardware, Geräte, Fahrzeuge, Protokolle, Organisationen, Vertrauen usw. sowie in der Lieferkette Störungen, geplante Obsoleszenz usw. (2) Operative Auswirkungen von Cyberangriffen im Allgemeinen und solchen durch Schadsoftware im Besonderen. Diese lassen sich wie folgt charakterisieren: (i) Kompromittierung von Root-Rechten. Dies beinhaltet das Erlangen unautorisierter Administratorrechte auf einem Gerät/System. Ebenso die Erhöhung von Rechten über die eines normalen Benutzers hinaus, einschließlich Administrator- und/oder Root-Rechten für ein bestimmtes System. (ii) Kompromittierung auf Webebene. Dies beinhaltet die Kompromittierung einer Website oder Webanwendung durch Ausnutzung von Schwachstellen. Ein Malware-Cyberangriff kann über eine kompromittierte Website erfolgen, typischerweise durch Site-Scripting oder SQL-Injection. (iii) Einfache oder verteilte Dienstverweigerung (DoS/DDoS). Dies beinhaltet das Verweigern des Zugriffs eines Opfers auf bestimmte legitime Ressourcen oder Dienste. DoS/DDoS-Angriffe lassen sich in vier Typen unterteilen: anwendungsgerichtete Angriffe (Verhinderung des Zugriffs auf Anwendungen), system-/geräte-/servergerichtete Angriffe (bösartige Angriffe auf die Systemkonfiguration, das Betriebssystem, die Software usw., um das System durch Ressourcenverbrauch zu überlasten und zum Absturz zu bringen), netzwerkgerichtete Angriffe (Verhinderung der Bereitstellung oder des Empfangs autorisierter Dienste durch das Netzwerk und/oder Subnetz sowie alle angeschlossenen Geräte, typischerweise durch Paketflutung, um die Netzwerkverbindung und Bandbreite zu beeinträchtigen und die Latenz zu erhöhen) und verteilte Angriffe (einfach ausgedrückt: DDoS, basierend auf mehreren koordinierten Cyberangriffen von verschiedenen infizierten Geräten, die ein Botnetz bilden; Mirai ist ein Beispiel). (iv) Missbrauch von IT/OT-Ressourcen. Dies umfasst die unbefugte Nutzung von Ressourcen sowie jeglicher IT/OT-Funktion (BD-ERP, CPS-ICS-SCADA), die bestimmte Berechtigungen erfordert. (v) Kompromittierung von Benutzern. Dies beinhaltet, dass Schadsoftware als kompromittierter Benutzer unbefugten Zugriff auf Benutzerberechtigungen in einem System/Gerät/Netzwerk erlangt. (vi) Installation von Schadcode. Hierbei werden Sicherheitslücken ausgenutzt, um Schadsoftware zu installieren und einen Cyberangriff zu starten, beispielsweise indem der Benutzer einen E-Mail-Anhang öffnet oder eine infizierte Website besucht (Drive-by-Compromise/Drive-by-Installation). Dadurch erlangt die Schadsoftware die vollständige Kontrolle über das kompromittierte System, was zur Offenlegung sensibler Informationen, zur Fernsteuerung des Systems, zur Datenmanipulation usw. führen kann.

 

TYPIFIZIERUNG VON CYBERANGRIFFSVEKTOREN.

Ein Cyberangriffsvektor (allgemein und insbesondere bei offensiven Malware-Angriffen) ist ein Pfad (von Schwachstellen), über den sich Malware entwickeln und Zugriff auf ein Ziel (Gerät, System, IoT-Objekt, Netzwerk usw.) erlangen kann. Für einen erfolgreichen Cyberangriff können mehrere Schwachstellenvektoren erforderlich sein. Beispiele für Cyberangriffsvektoren oder Schwachstellen sind: (1) Unzureichende Eingabevalidierung. Ein Programm validiert die vom Benutzer gesendeten Eingaben nicht. Malware kann eine Schwachstelle in der unzureichenden Eingabevalidierung ausnutzen und beliebigen Code einschleusen. Dies tritt typischerweise in Webanwendungen, Apps usw. auf. (2) Kernel-Schwachstellen. Malware kann eine Kernel-Schwachstelle in einem Betriebssystem (dem Kernel des Betriebssystems) ausnutzen, um bestimmte Berechtigungen zu erlangen. (3) Pufferüberlauf (Stack- oder Heap-Typ). Dieser tritt auf, wenn ein Codeabschnitt die korrekte Länge der Eingabe nicht überprüft und der Eingabewert nicht der erwarteten Größe entspricht. Ein Pufferüberlauf tritt auf, wenn ein Puffer mit unzureichender oder unbegrenzter Überprüfung mit Benutzerdaten gefüllt wird. Ein Malware-Angriff kann eine Pufferüberlauf-Schwachstelle ausnutzen und so potenziell beliebigen Code ausführen, oft mit Administratorrechten, während das Programm läuft. Pufferüberläufe können sowohl im Stack als auch im Heap-Speicher auftreten. Ein Heap-Pufferüberlauf tritt im Heap-Datenbereich auf, der von der laufenden Anwendung dynamisch allokiert wird. (4) Dateideskriptor.

Cybersicherheit-249-5Ein Dateideskriptor, der Systemnummern anstelle von Dateinamen zur Dateiverfolgung verwendet. Die Ausnutzung einer Dateideskriptor-Schwachstelle ermöglicht es Schadsoftware, erhöhte Berechtigungen für programmbezogene Dateien zu erlangen. (5) Fehlerhafte Konfiguration (meist Standardeinstellungen). Schadsoftware kann eine Konfigurationsschwachstelle oder einen Fehler in einer bestimmten Anwendung ausnutzen, um Zugriff auf ein Netzwerk oder ein Computergerät zu erlangen und verschiedene Cyberangriffe zu starten. Unsachgemäß konfigurierte Einstellungen (meist Standardwerte) sind leichte Ziele für Schadsoftware. (6) Social Engineering. Der Prozess, soziale Interaktionen zu nutzen, um Informationen von einem Opfer oder Computergerät zu erlangen. Diese Art von Cyberangriffen bietet schnelle Möglichkeiten, Informationen aufzudecken, die unter normalen Umständen möglicherweise nicht verfügbar wären. (7) Falsche Datei-/Verzeichnisberechtigungen. Falsche Berechtigungen für eine Datei oder ein Verzeichnis bedeuten, dass Benutzer und Prozesse nicht korrekt zugewiesen wurden. Die Ausnutzung dieser Schwachstelle kann zu einer Vielzahl von Schadsoftwareangriffen führen. (8) Race Condition. Diese tritt auf, wenn ein Programm versucht, einen Prozess auszuführen, und das Objekt gleichzeitig zwischen wiederholten Referenzen wechselt, wodurch Schadsoftware Zugriff auf erhöhte Berechtigungen erlangen kann, während sich ein Programm oder Prozess im privilegierten Modus befindet. (9) Fehler in CPUs, FPGAs, SoCs, Mikrocontrollern, GPUs usw. Diese Schwachstellen können in allen Arten von IT/OT-Systemen, selbst solchen auf Basis künstlicher Intelligenz, zu schwerwiegenden Problemen führen. (10) Symbolische Links. Ein symbolischer Link ist eine Datei, die auf eine andere Datei verweist. Schadsoftware kann eine Schwachstelle in symbolischen Links ausnutzen, um auf eine Zieldatei zu verweisen, für die ein Betriebssystemprozess Schreibrechte besitzt. (11) Angriffsvektoren in Verbindung mit Schadsoftwarenamen. Die Schadsoftware „Slammer Worm“ nutzt Fehlkonfigurationen als Angriffsvektor bzw. Schwachstelle. Hauptziele sind Netzwerke und Anwendungen, und die Auswirkungen auf Informationen bestehen in deren Aufdeckung und Verfälschung. Die Schadsoftware „Conflicker“ nutzt einen Stack-Buffer-Overflow als Angriffsvektor bzw. Schwachstelle, zielt auf Betriebssysteme (wie Windows Server, XP, 2000 usw.) ab und verursacht Störungen und Informationsverluste. Die Malware „gimmiv.A“ nutzt ebenfalls Stack-Buffer-Overflows als Angriffsvektor bzw. Sicherheitslücke, um Betriebssysteme (wie Windows Server) anzugreifen und Informationen offenzulegen. Die Malware „yamanner“ nutzt Social Engineering bzw. Designfehler als Angriffsvektor bzw. Sicherheitslücke, um Anwendungen wie E-Mail-Server bzw. Benutzer anzugreifen und Informationen offenzulegen bzw. zu stören. Die Malware „zotob“ nutzt Stack-Buffer-Overflows als Angriffsvektor bzw. Sicherheitslücke, um das Betriebssystem bzw. das lokale System anzugreifen und Informationen zu verfälschen. Die Malware „samyXSS“ nutzt Designfehler als Angriffsvektor bzw. Sicherheitslücke; Hauptziel ist der Benutzer, und die Auswirkungen auf Informationen sind Störungen bzw. Unterbrechungen.

ERFORSCHEN DER DYNAMIK DER BLOCKIERUNG SCHÄDLICHER AKTIONEN DURCH DEFENSIVE MALWARE.

MIAD (Advanced Defensive Intelligent Malware) ist eine adaptive, cyberresistente, selbststeuernde, autonome, extrem schwer zu erkennende, asymptomatische, KI-basierte Cyberwaffe (mit Fähigkeiten im Bereich maschinelles Lernen, Deep Learning, tiefe Faltungsneuronale Netze, natürliches Lernen, Expertensysteme usw.), die auf Wunsch mit Kontrollzentren kommunizieren kann, um Funktionen zu erlangen, die sie kontinuierlich auf mehreren Ebenen gleichzeitig erkennt und als „Ziele“ blockiert, d. h. bösartige Versuche und Aktionen/Mikroaktionen, die sie blockiert, deaktiviert, inaktiviert, neutralisiert usw. Defensive Malware erkennt alle Arten von bösartigen und gefährlichen Aktionen in Software, Firmware, Hardware, Daten und menschlichem Verhalten (z. B. Klicken auf einen bösartigen Link/ein bösartiges Symbol/eine bösartige Schaltfläche/ein bösartiges Kreuz, Herunterladen oder Öffnen eines infizierten Anhangs über Spam, Spear-Phishing usw., Öffnen eines bösartigen QR-Codes (der zu einer infizierten Website führt), Laden eines Mobiltelefons/Tablets/PC-Akkus über USB oder sogar Laden eines Fahrzeugs an einem kompromittierten öffentlichen Ort/Bus oder Nutzung infizierter oder kompromittierter öffentlicher WLAN-Verbindungen usw.). Defensive Malware blockiert alle schädlichen Mikroaktionen auf jeder Ebene. Auf technischer Ebene blockiert sie beispielsweise Versuche, Microsoft Office-Makro-Schwachstellen auszunutzen, schädliche Skripte in die Registrierung einzuschleusen, Registrierungswerte mit „rundll32.exe“ auszuführen, mit Jscript.Encode kodierte Registrierungswerte auszuführen, Base64-kodierte PowerShell-Skripte zu verwenden, Registrierungsschlüssel und Pfade ausführbarer Dateien zu überprüfen sowie DLLs mithilfe von PowerShell-Skripten auszuführen. (Einschleusung mittels dllhost.exe), jeglicher Versuch, nach jeder Operation Dateien in „dllhost.exe“ zu löschen, das Senden von Benutzersysteminformationen an den C&C-Server mittels unterschwelliger und/oder TCP-Kommunikation, der Versuch, Social-Engineering-Techniken über E-Mail-Anhänge anzuwenden, das Ausführen von Registry-Werten mit Mshta.exe, Code-Injection mittels PowerShell-Skripten usw. Laut Aon-Daten haben Ransomware-Angriffe im Jahr 2020 um 400 % zugenommen. Laut dem DBIR 2020 (Data Breach Investigations Report) von Verizon sind 43 % der Datenschutzverletzungen auf die Anwendungsschicht zurückzuführen (Entwicklungsteams haben sich zu sehr auf Funktionalität und Produktivität konzentriert und die Cybersicherheit vernachlässigt. Es ist dringend erforderlich, Methoden wie DevSecOps/Development-Security-Operations bereits in der Designphase auf die Entwicklung von Software, Apps, APIs usw. anzuwenden).

Cybersicherheit-249-6SCHLUSSBEMERKUNGEN

Advanced Adaptive Intelligent Malware Defense (DAIM/MIAD) besteht aus drei Komponenten: (1) Einer defensiven Cyberwaffe gegen alle Arten von Cyberangriffen im Allgemeinen und offensive Malware-Angriffe im Besonderen. (2) Einem hochentwickelten Werkzeug zur Abwehr von Cyberangriffen im Allgemeinen und offensiven Malware-Angriffen im Besonderen. (3) Einem Werkzeug zur Neutralisierung von Cyberbedrohungen im Allgemeinen und offensiven Malware-Angriffen im Besonderen. Offensiv-Malware greift alles an, beispielsweise Fahrzeuge (in der Automobilbranche kann Malware auf verschiedene Bussysteme wie CAN-Bus, FlexRay, LIN, CAN-FS usw. einwirken), Steuergeräte (Elektronische Steuereinheiten, die den Motorbetrieb regeln, können die Lenkung blockieren, die Fernsteuerung von Heizung und Klimaanlage ermöglichen, Türen verriegeln oder entriegeln, Warnleuchten manipulieren, den Reifendruck verfälschen (als ob ein Reifenschaden vorläge), Fenster blockieren, Airbags auslösen, erzwungenes Beschleunigen und Bremsen verursachen, die Navigation verändern, die Bremsen blockieren, auf Unterhaltungssysteme einwirken, die Fahrzeugdiagnosedaten manipulieren (was Fahrer und Werkstätten betrifft), Fahrdaten (Wohnort, Arbeitsplatz, GPS-Ortung usw.) unerlaubt herunterladen) usw.), Systeme wie ADAS (Fahrerassistenzsysteme) mit ihren Sensoren, indem sie Schwachstellen ausnutzt und Sensordaten verfälscht, sodass diese beliebige Informationen erfassen, beispielsweise nicht vorhandene Hindernisse oder den Bereich unter dem Fahrzeug anzeigen. (Eine Attrappe auf der Motorhaube, die den Eindruck erwecken soll, der Fahrer habe sie überfahren), der OBD2-Anschluss (der die Programmierung, Codierung und Diagnose aller im Fahrzeug verbauten elektronischen Geräte ermöglicht; Schadsoftware kann das Fahrzeug angreifen und kontrollieren (einige Versicherungen schließen ein Gerät an diesen Anschluss an, um Prämien zu senken; dieses Gerät kann infiziert werden, um die Fahrgewohnheiten zu analysieren) usw.). Eine Prognose der International Data Corporation schätzt, dass es bis 2025 41,6 Milliarden vernetzte IoT-Geräte/Objekte geben wird, die 79,4 Zettabyte an Daten generieren. Laut einem Gartner-Bericht wird die Anzahl der IoT-Geräte (und all ihrer Ableitungen: IoMT, IIoT, AIoT usw.), die über alle technischen Bereiche hinweg vernetzt sind, bis 2025 eine Billion erreichen. Dies impliziert eine Bedrohung durch Cyber-Malware von unvorstellbarem Ausmaß. Malware kann alles angreifen: Virtualisierung, d. h. virtuelle Instanzen und virtuelle Maschinen können sich gegenseitig ausspionieren und interagieren, kann die Realität verzerren, beispielsweise indem ein Fahrzeug aufgrund eines Geolocation-Fehlers als verloren gilt oder so aussieht, als befände es sich auf einer weit entfernten Straße; in Ordner oder Dateien eingeschleuste Malware ermöglicht es, den Standort desjenigen zu ermitteln, der sie öffnet usw. Eine PUF (Potentially Unknown Function) ist eine Funktion, die in ein physisches Objekt wie einen Chip oder einen integrierten Schaltkreis eingebettet ist. Bei einer Anfrage z generiert die PUF eine Antwort w, die sowohl von der Anfrage z als auch von den spezifischen physikalischen Eigenschaften des Geräts und dem einzigartigen Material des Objekts, das die PUF enthält (d. h. der einzigartigen internen Struktur der PUF – ihrer „Cyber-DNA“), abhängt. Diese Struktur wird durch zufällige Fertigungstoleranzen verursacht; diese Toleranzen sind nicht reproduzierbar und liegen außerhalb der Kontrolle des PUF-Herstellers. PUFs eignen sich gut zur Erkennung von geklonter, gefälschter, manipulierter, duplizierter usw. Hardware. Im Fall der Verhinderung von Spoofing bei Videokameras, CPUs usw. ist die PUF-Technologie hardwarebasiert und daher nicht fälschbar, wodurch das Gerät, auf dem sie läuft, „einzigartig“ wird. Im Gegensatz dazu basieren NFT-Entitäten (Non-Fungible Token) bzw. -Objekte (Dateien, Videos, Fotos usw.) auf Blockchain, also Software, und weisen daher Sicherheitslücken auf. Folglich könnten die Objekte oder Entitäten gefälscht werden, was sie „ungewöhnlich“ macht. Laut Gartner wird Malware bis 2025 die uneingeschränkte Fähigkeit besitzen, gegen alle Arten von OT-Umgebungen (Operational Technology) vorzugehen und Schäden, Kontaminationen oder sogar Todesfälle zu verursachen. Dies gilt für Malware-Cyberangriffe auf CPS, ICS, Fahrzeuge, Fabriken, SCADA, PLCs usw. Ein Bericht von RiskRecon und dem Cyentia Institute zeigt, dass in Unternehmen mit IoT-Geräten ohne ordnungsgemäße Konfiguration und Cybersicherheit das Cyberrisiko für die Offenlegung ihrer kritischen Assets um das Siebzigfache steigt. Darüber hinaus werden 86 % der Cybersicherheitsprobleme bei IoT-Geräten als kritisch eingestuft.

Autor: Prof. Dr. Javier Areitio Bertolín, Leiter der Forschungsgruppe Netzwerke und Systeme

 

LITERATURVERZEICHNIS.

- Areitio, J. „Informationssicherheit: Netzwerke, Computer und Informationssysteme“. Cengage Learning-Paraninfo. 2020.
- Areitio, J. „Die zunehmende Macht von Malware kontrollieren: Identifizierung und Untersuchung wichtiger Aspekte von Malware“. Conectrónica Magazin. Nr. 240. Februar 2021.
- Areitio, J. „Die Gefahr der Unkenntnis über die Existenz von Malware-Infektionen, die zu sehr ernsten globalen Cyber-Epidemien führen kann“. Conectrónica Magazin. Nr. 241. März-April 2021.
- Areitio, J. „Klarstellungen zu Malware, Cyber-Pandemien und kritischen Cyber-Epidemien. Schutz vor Malware: Proaktive Verteidigung“. Conectrónica Magazin. Nr. 242. Mai-Juni 2021.
- Areitio, J. „Zusammenhänge zwischen Malware, Schwachstellen und Exploits: Infiltrationsindikatoren, Infektionsvektoren und Malware-Gefahr“. Conectrónica Magazin. Nr. 243. Juli 2021.
– Areitio, J. „Anpassung an die Variabilität unentdeckter Malware-Infektionen in allen Arten aktueller Szenarien, Umgebungen und Ökosysteme.“ Conectrónica Magazin. Nr. 244. September 2021.
– Areitio, J. „Dualität fortschrittlicher intelligenter Malware (offensiv und defensiv), Angriffspunkte und transparente Expansionsoperationen.“ Conectrónica Magazin. Nr. 245. Oktober 2021.
– Areitio, J. „Elemente und Ansätze für den Entwurf und die Synthese fortschrittlicher defensiver intelligenter Malware.“ Conectrónica Magazin. Nr. 246. November 2021.
– Areitio, J. „Entwicklung fortschrittlicher defensiver intelligenter Malware.“ Neutralisierung offensiver Malware-Aktionen. Conectrónica Magazin. Nr. 247. Februar 2022.
- Areitio, J. "Automatische Aktionen fortschrittlicher defensiver intelligenter Malware." Conectrónica Magazin. Nr. 248. März 2022.
- DiMaggio, J. "Die Kunst der Cyberkriegsführung: Ein Leitfaden für Ermittler zu Spionage, Ransomware und organisierter Cyberkriminalität." No Starch Press. 2021.
- Ryan, M. "Ransomware-Revolution: Der Aufstieg einer gewaltigen Cyberbedrohung."
- Wardle, P. “The Art of Mac Malware: The Guide to Analyzing Malicious Software”. No Starch Press. 2021.
- Wardle, P. "Die Kunst der Mac-Malware: Der Leitfaden zur Analyse schädlicher Software." Press. 2021.
- Yehoshua, N. und Kosayev, U. "Antivirus-Bypass-Techniken: Lernen Sie praktische Techniken und Taktiken, um Antivirensoftware zu bekämpfen, zu umgehen und zu entgehen." Packt Publishing. 2021.
– Calder, A. „Die Bedrohungslandschaft von Ransomware: Vorbereitung, Erkennung und Überleben von Ransomware-Angriffen.“ IT Governance Publishing. 2021.
– Barker, D. „Malware-Analysetechniken: Tricks zur Triage von Schadsoftware.“ Packt Publishing. 2021.
– Ahmed, A. „Techniken zur Rechteausweitung: Lernen Sie die Kunst der Ausnutzung von Windows- und Linux-Systemen.“ Packt Publishing. 2021.
– Boutwell, M. „Das Ransomware-Handbuch: Wie man sich auf Ransomware-Angriffe vorbereitet, sie verhindert und sich davon erholt.“ Mike Bouwell. 2021.
– Sarwar, FA „Ethisches Hacking mit Python von Grund auf: Denken wie ein ethischer Hacker, Vermeidung von Entdeckung und erfolgreiche Entwicklung, Bereitstellung, Erkennung und Vermeidung von Malware.“ Packt Publishing. 2021.
– Liska, A. „Ransomware: Verstehen. Vorbeugen.“ „Recover“. ActualTech Media. 2021.
– Di Pietro, R., Raponi, S., Caprolu, M. und Cresci, S. „New Dimensions of Information Warfare (Advances in Information Security)“. Springer. 2021.