Daily Ransomware Report – 15 listopada 2025: trend „data-theft extortion” i aktywność Qilin - Security Bez Tabu

Daily Ransomware Report – 15 listopada 2025: trend „data-theft extortion” i aktywność Qilin

Wprowadzenie do problemu / definicja luki

Dzisiejszy przegląd incydentów wskazuje na 9 nowych ofiar ujawnionych na stronach wyciekowych (DLS) w ciągu ostatnich 24 godzin. Wśród grup najaktywniejszy był Qilin (2 ofiary), a geograficznie najbardziej dotknięte pozostają Stany Zjednoczone. Sektory? Od usług profesjonalnych i edukacji po energetykę i ochronę zdrowia – czyli pełne spektrum, w tym infrastrukturę krytyczną. W warstwie TTP szczególnie istotna jest eskalacja modelu „data-theft extortion” (kradzież danych + wymuszenie), którą prezentuje nowa grupa Kazu operująca przez nadużycia aplikacji webowych zamiast klasycznego szyfrowania zasobów. Źródłowe dane statystyczne i syntetyczne zestawienie grup pochodzą z dzisiejszego raportu Purple Ops.

W skrócie

  • Skala: 9 nowych zgłoszeń/ofiar na DLS; rok-do-dnia: 6564, Q4: 1138.
  • Najaktywniejsza grupa: Qilin (2 ofiary / różne branże, w tym elementy infrastruktury krytycznej).
  • Nowy gracz: Kazu – pierwszy głośny przypadek w Ameryce Płn.: Doctor Alliance (TX, USA), groźba publikacji 353 GB / ok. 1,2 mln plików, żądanie 200 tys. USD.
  • Incydenty dnia (wybrane z monitoringu DLS): m.in. Brotherhood → Ninas Jewellery (AU); wzmianki o Kill Security → Force Brokerage (US); aktywność Qilin wobec podmiotów w Ameryce Płn.
  • Szerszy trend: Qilin utrzymuje wysokie tempo globalne w 2025 r., należąc do najbardziej prolificznych operatorów.

Kontekst / historia / powiązania

Rok 2025 przyniósł stabilnie wysoką aktywność ekosystemu ransomware, a Qilin – obecny od 2022 r. – pozostaje jedną z najprężniej działających operacji (Golang, elastyczne tryby szyfrowania, „double extortion”). W tle mamy ciągłe działania organów ścigania i sankcje wobec infrastruktur wspierających gangi, ale skuteczność odstraszania jest ograniczona – grupy szybko się rekonfigurują i/lub przełączają model biznesowy (np. data-theft bez szyfrowania).

Kazu wpisuje się w rosnący nurt grup, które porzucają ciężkie payloady na rzecz wyłudzeń po samej eksfiltracji, wykorzystując słabości w warstwie aplikacyjnej (portalach, usługach SaaS, hostingach). Pierwsze szeroko opisywane uderzenie w Ameryce Płn. to Doctor Alliance (inne publikacje także potwierdzają wolumen i deadline okupu).

Analiza techniczna / szczegóły luki

1) TTP „data-theft extortion” (Kazu)

  • Wejście: podatności w aplikacjach webowych / panelach (np. auth bypass, RCE w CMS/WAF, błędy uploadu, SSRF, SQLi, IDOR).
  • Ruch lateralny: ograniczony lub zerowy – priorytetem jest szybka eksfiltracja wprost z warstwy aplikacyjnej lub storage’u (S3/Blob/NAS).
  • Eksfiltracja: HTTP(S) do hostów kontrolowanych, czasem kanały chmurowe (niepozorne domeny, CDN), archiwa wieloczęściowe.
  • Wymuszenie: publikacja listingów, zrzuty ekranów, próbki (setki obrazów PDF/JPG z dokumentacją medyczną), licznik czasu i żądanie okupu – tutaj $200k i groźba publikacji 21.11.2025.

2) Qilin – model „double extortion”

  • Wejście: spear-phish + kradzież kredencjałów, RDP/VPN bez MFA, podatne urządzenia perymetryczne, n-day CVE (Fortinet, Ivanti, VMware), czasem łańcuchy supply-chain.
  • Faza przed-encryption: wyłączenie EDR, shadow copies, backup endpointów; kradzież danych wrażliwych (HR/finanse/projekty).
  • Szyfrowanie: wsparcie wielu trybów, sterowane przez operatora; nota okupu + komunikacja przez Tox/Chat. Skala 2025 – setki ofiar globalnie.

3) Inne grupy z dziennego podsumowania

  • Brotherhood → Ninas Jewellery (AU) – zgłoszenie na trackerach DLS.
  • Kill Security / KillSec → Force Brokerage (US) – wpisy w serwisach monitorujących DLS. (Uwaga: szczegóły mogą się zmieniać; w tej chwili brak szerokich, oficjalnych potwierdzeń poza ekosystemem DLS/OSINT).

Praktyczne konsekwencje / ryzyko

  • Ochrona zdrowia: incydenty typu Doctor Alliance oznaczają wysokie ryzyko RODO/HIPAA (pełne dane medyczne, numery ubezpieczeń, plany leczenia). Efekty: kradzież tożsamości, oszustwa ubezpieczeniowe, spear-phish kontekstowy (spoofing lekarzy/placówek).
  • Infrastruktura krytyczna: nawet gdy brak szyfrowania, ujawnienie konfiguracji OT/ICS, schematów, list kont zwiększa ryzyko wtórnych włamań i szantażu.
  • Łańcuch dostaw: wycieki danych dostawców (MSP, billing, dokumentacja) eskalują ryzyko pivotu na klientów.

Rekomendacje operacyjne / co zrobić teraz

1) Twardnienie frontów webowych (pod Kazu / „pure exfil”)

Szybkie kontrole:

# Sprawdź ekspozycję paneli (MFA/SSO) i podstawową powierzchnię:
nmap -Pn -sV --script http-auth,http-vuln* -p80,443 <Twoje_ADR_IP/CIDR>

# Wyszukaj nieautoryzowane uploady / webshell:
grep -R --include="*.php" -nE "(base64_decode|eval\(|shell_exec|assert\()" /var/www/html

# Poszukaj świeżych artefaktów w katalogach upload:
find /var/www/html/uploads -type f -mtime -3 -ls

WAF/Reverse proxy:

  • Włącz bot management / anomaly scoring (SQLi/XSS/SSRF/IDOR), rate-limit na endpointach upload/search.
  • MFA „enforce” na wszystkich panelach administracyjnych/helpdesk/portalach B2B. (Raport Purple Ops podkreśla ten wektor przy Kazu.)

Dzienniki i detekcje (przykłady):

Sigma (podejrzane archiwa wyprowadzane przez proces serwera www):

title: Suspicious Large Archive Exfil via Webserver Process
logsource:
  product: linux
  category: process_creation
detection:
  sel:
    Image|endswith:
      - /usr/sbin/apache2
      - /usr/sbin/nginx
    CommandLine|contains:
      - "zip"
      - "7z"
      - "tar"
  cond: sel
fields: [Image, CommandLine, User, ParentProcess, CurrentDirectory]
level: high
tags: [exfiltration, webserver, data-theft]

NGINX – anomalia rozmiaru odpowiedzi (potencjalna eksfiltracja):

# mapuj duże odpowiedzi >100MB do osobnego loga
map $body_bytes_sent $large_body {
  default 0;
  "~^[1-9][0-9]{8,}$" 1;  # >= 100MB
}
log_format exfil '$remote_addr $time_local "$request" $status $body_bytes_sent $http_referer $http_user_agent';
access_log /var/log/nginx/exfil.log exfil if=$large_body;

Splunk – spike dużych transferów z hostów www:

index=web sourcetype=nginx:access OR sourcetype=apache:access
| bucket _time span=15m
| stats sum(bytes) as out_bytes by src, dest, _time
| eventstats avg(out_bytes) as avg stdev(out_bytes) as std by src
| where out_bytes > avg + 3*std
| sort - out_bytes

2) Ransomware (Qilin i podobni) – hygiene + EDR

  • Dostępy zdalne: wyłącz RDP z internetu; VPN tylko z MFA + Device Posture.
  • EDR/AV: blokada LOLBins, monitoring vssadmin, wbadmin, bcdedit; polityki anty-tamper.
  • Backupy: 3-2-1, test odtwarzania, immutable w chmurze (Object Lock/WORM).
  • AppControl: Allow-listing (WDAC/AppLocker), blokada uruchamiania z %AppData%, Temp, udziałów SMB użytkowników.
  • AD tiering: konta uprzywilejowane z PAM, PAW (Privileged Access Workstation).

Windows – logika detekcji „pre-crypto”:

# Podejrzane polecenia dot. shadow copies i bootcfg
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} |
  Where-Object { $_.Properties[5].Value -match 'vssadmin|wbadmin|bcdedit|wmic.*shadowcopy' } |
  Select-Object TimeCreated, @{n='Cmd';e={$_.Properties[5].Value}}, @{n='User';e={$_.Properties[1].Value}}

Sigma – masowe operacje na plikach (renames/encryptors):

title: Ransomware-Like Mass File Rename
logsource:
  product: windows
  service: sysmon
detection:
  sel:
    EventID: 11  # FileCreate
    TargetFilename|endswith:
      - ".locked"
      - ".qilin"
      - ".crypt"
  timeframe: 5m
  condition: selection
level: high

3) Ochrona danych medycznych (PHI) – szybkie kroki IR

  • Segmentacja systemów billing/EMR i oddzielenie od frontów www.
  • DLP + egress control: bloki na uploady do „fresh” domen CDN/chmury poza allowlistą.
  • „Canary records” w bazach PHI (fałszywe, śledzone identyfikatory); alert na odczyt.
  • Notyfikacje prawne – przygotować szablony (HIPAA/RODO), lokalny regulator i klienci.

Różnice / porównania z innymi przypadkami

  • Ransomware klasyczne vs. „pure exfil” (Kazu):
    • Klasyczne: szyfrowanie + exfil; widoczne artefakty (wyłączanie VSS, noty okupu).
    • Pure exfil: brak szyfrowania, krótsze dwell time, mniejszy hałas na hostach – ciężar detekcji przenosi się na warstwę www/egress.
  • Qilin na tle 2025:
    • Skala i tempo – dziesiątki setki przypadków; celowanie w krytyczne sektory i Amerykę Płn.
    • Dowody z OSINT i opracowań branżowych potwierdzają jego czołową pozycję w tym roku.

Podsumowanie / kluczowe wnioski

  1. Dzień zdominowany przez Qilin, ale narrację zmienia Kazu – wymuszenia po samej kradzieży danych są coraz bardziej opłacalne i trudniejsze w detekcji.
  2. USA pozostaje głównym celem, lecz widoczna jest dywersyfikacja sektorowa (usługi, edukacja, zdrowie, energetyka).
  3. Dla SOC/CERT oznacza to konieczność wzmocnienia telemetrii web/egress, a nie tylko host-based anty-crypto.
  4. Organizacje powinny aktualizować playbooki IR o scenariusze „pure exfil” (bez szyfrowania) i mierzyć skuteczność: MTTA/MTTD dla anomalii ruchu wychodzącego, not tylko dla binarek szyfrujących.

Źródła / bibliografia

  1. Purple Ops – Daily Ransomware Report 11/15/2025 – statystyki dnia, zestawienie grup i sektorów. (Purple Ops)
  2. BankInfoSecurity – „Kazu expands reach; Doctor Alliance” – pierwszy głośny przypadek Kazu w Ameryce Płn., 353 GB danych. (bankinfosecurity.com)
  3. TechRadar Pro – Doctor Alliance: ~1,24 mln plików / 353 GB – szczegóły danych, skala i ryzyka dla ofiar. (TechRadar)
  4. HealthExec – żądanie 200 tys. USD, deadline 21.11.2025 – oś czasu i parametry wymuszenia. (Health Exec)
  5. Ransomware.live – „Brotherhood → Ninas Jewellery (AU)” – potwierdzenie wpisu na DLS. (ransomware.live)
  6. (Kontekst techniczny) Ransomware.live – Qilin (profil/TTP) – charakterystyka rodziny, double extortion. (ransomware.live)
  7. (Trend 2025) IndustrialCyber – aktywność Qilin w 2025 – pozycja w krajobrazie roku. (Industrial Cyber)

Uwaga o wiarygodności: część pozycji dziennych (np. Force Brokerage / Kill Security) pierwotnie pochodzi z agregatorów wpisów DLS/OSINT i może nie mieć jeszcze niezależnych, oficjalnych potwierdzeń poza stronami wyciekowymi. Zalecane jest bieżące „threat validation” przed eskalacją reakcji IR.