Co znajdziesz w tym artykule?
- 1 Wprowadzenie do problemu / definicja luki
- 2 W skrócie
- 3 Kontekst / historia / powiązania
- 4 Analiza techniczna / szczegóły luki
- 4.1 1) Wejście i rekonesans: od IIS/webshelli do sieci wewnętrznej
- 4.2 2) Active Directory jako „dźwignia” do masowej dystrybucji
- 4.3 3) Obrona? Najpierw ją wyłącz: BYOVD i sterownik Zemana (zam64.sys)
- 4.4 4) Szyfrowanie i wymuszenia: Go, ChaCha20/ECIES, „.Hunter”
- 4.5 5) Przykład wpływu na szpital: skala i przestoje
- 5 Praktyczne konsekwencje / ryzyko
- 6 Rekomendacje operacyjne / co zrobić teraz
- 7 Różnice / porównania z innymi przypadkami
- 8 Podsumowanie / kluczowe wnioski
- 9 Źródła / bibliografia
Wprowadzenie do problemu / definicja luki
CrazyHunter to świeża, ale szybko dojrzewająca kampania ransomware, która w krótkim czasie zaczęła łączyć klasyczne elementy wymuszeń (szyfrowanie + wyciek danych) z technikami kojarzonymi raczej z bardziej „profesjonalnymi” intruzami: nadużycia Active Directory, dystrybucja przez GPO oraz agresywne obchodzenie zabezpieczeń poprzez BYOVD (Bring Your Own Vulnerable Driver), czyli wykorzystanie podatnego sterownika w jądrze systemu do wyłączania ochrony.
W praktyce oznacza to, że organizacje – szczególnie szpitale – mogą przegrać wyścig z czasem: jeśli atakujący wejdą do domeny i zneutralizują EDR/AV, wdrożenie szyfrowania „na masową skalę” jest kwestią minut, nie dni.
W skrócie
- Według analizy Trellix, CrazyHunter to ransomware napisane w Go, powiązane/forkowane z „Prince ransomware”, z 6 znanymi ofiarami w Tajwanie i silnym ukierunkowaniem na ochronę zdrowia.
- Trend Micro opisuje szerokie użycie narzędzi open-source (ok. 80% toolsetu) oraz elementy takie jak ZammoCide i SharpGPOAbuse, a także szyfrowanie ChaCha20 + ECIES i rozszerzenie „.Hunter”.
- W realnych incydentach w szpitalach pojawiają się wczesne artefakty typu webshell (np. Godzilla) i tunele (reGeorg) na serwerach IIS – czyli scenariusz „wejście przez perymetr → pivot do AD → GPO → masowe wdrożenie”.
- Tło operacyjne kampanii w Tajwanie obejmuje znane, nagłośnione przypadki (m.in. Mackay Memorial Hospital), gdzie raportowano szeroką skalę szyfrowania urządzeń i przerwy w systemach.
- Tajwańskie organy śledcze łączyły nazwę „CrazyHunter” z grupą przestępczą i handlem wykradzionymi danymi; wątek ten pokazuje, że ryzyko nie kończy się na samym szyfrowaniu.
Kontekst / historia / powiązania
Z perspektywy ekosystemu ransomware CrazyHunter jest ciekawy z dwóch powodów:
- „Demokratyzacja” zdolności ofensywnych: Trend Micro wskazuje, że duża część narzędzi pochodzi z GitHuba (ok. 80%), w tym builder „Prince Ransomware” – co obniża próg wejścia dla grup, które potrafią integrować gotowe elementy w spójny łańcuch ataku.
- Konsekwentne ukierunkowanie geograficzne i sektorowe: raporty Trellix i Trend Micro opisują koncentrację na Tajwanie, w tym na podmiotach kluczowych (szpitale, edukacja, przemysł). Dla ochrony zdrowia jest to szczególnie bolesne, bo „koszt przestoju” jest ekstremalnie wysoki.
Dodatkowo, tajwańskie doniesienia śledcze wiążą aktywność pod marką „CrazyHunter” z przestępczością ukierunkowaną na monetyzację danych (sprzedaż wykradzionych rekordów), co pasuje do modelu podwójnego wymuszenia.
Analiza techniczna / szczegóły luki
1) Wejście i rekonesans: od IIS/webshelli do sieci wewnętrznej
W case study TeamT5 (bazującym na informacjach H-ISAC i wstępnych ustaleniach MSSP) pojawia się scenariusz początkowego przyczółka na „IIS Web” oraz użycie webshella i tunelowania (Godzilla, reGeorg). To typowy wzorzec: stały dostęp → skanowanie intranetu → poszukiwanie ścieżki do Active Directory.
2) Active Directory jako „dźwignia” do masowej dystrybucji
Trellix opisuje, że atakujący często zaczynają od słabości w AD (np. słabe hasła kont domenowych), a następnie przechodzą do szybkiej propagacji. Kluczowym elementem jest nadużycie GPO (Group Policy Objects) do „rozlania” payloadu po wielu hostach.
Trend Micro doprecyzowuje użycie narzędzia SharpGPOAbuse – jeśli atakujący mają (lub zdobędą) odpowiednie uprawnienia do edycji GPO, mogą wymusić uruchamianie złośliwych komponentów na maszynach objętych polityką.
3) Obrona? Najpierw ją wyłącz: BYOVD i sterownik Zemana (zam64.sys)
Najbardziej niepokojący element to BYOVD – Trend Micro opisuje użycie zmodyfikowanego narzędzia ZammoCide, które wykorzystuje podatny sterownik Zemana (zam64.sys) do zabijania procesów ochronnych (AV/EDR), nawet w trybie jądra.
Trellix również akcentuje BYOVD jako „wyróżnik” kampanii i opisuje użycie zmodyfikowanego sterownika Zemana jako metody eskalacji i obchodzenia kontroli bezpieczeństwa.
4) Szyfrowanie i wymuszenia: Go, ChaCha20/ECIES, „.Hunter”
Trend Micro wskazuje, że etap „Impact” opiera się o wariant bazujący na Prince ransomware (Go), z szyfrowaniem ChaCha20 + ECIES, zmianą tapety i notą okupu, a także rozszerzeniem “.Hunter” dla zaszyfrowanych plików.
Trellix dodaje, że aktor utrzymuje też data leak site, co wzmacnia presję poprzez groźbę publikacji danych.
5) Przykład wpływu na szpital: skala i przestoje
WithSecure opisuje incydent w Mackay Memorial Hospital (od 9 lutego 2025), w którym raportowano szyfrowanie setek urządzeń i zakłócenia działania kluczowych systemów, co dobrze ilustruje, dlaczego ataki na ochronę zdrowia są tak „opłacalne” dla wymuszeń.
Praktyczne konsekwencje / ryzyko
- Ryzyko operacyjne (ciągłość działania): w szpitalach nawet krótkotrwała niedostępność systemów to realny wpływ na diagnostykę, przyjęcia i procedury kliniczne.
- Ryzyko domenowe (AD jako single point of failure): jeśli atakujący „wygrają” w AD, potrafią narzucić wykonywanie złośliwych działań na setkach stacji naraz (GPO), a równolegle zdejmować ochronę BYOVD.
- Ryzyko danych i regulacyjne: model podwójnego wymuszenia (szyfrowanie + wyciek/sprzedaż) podnosi koszt incydentu o zawiadomienia, dochodzenia, potencjalne kary i szkody reputacyjne. Wątek sprzedaży danych pojawia się w doniesieniach śledczych z Tajwanu.
Rekomendacje operacyjne / co zrobić teraz
Poniżej lista działań, które realnie „tną” łańcuch CrazyHunter na kilku etapach — bez wchodzenia w instruktaż ofensywny:
1) Utwardź Active Directory (priorytet #1)
- Wymuś silne hasła i MFA dla kont uprzywilejowanych oraz dostępu zdalnego; usuń/ogranicz konta z nadmiernymi uprawnieniami. (Trellix wskazuje AD jako częsty punkt startu i motor propagacji).
- Monitoruj i alarmuj na: nietypowe logowania, zmiany członkostwa w grupach uprzywilejowanych, modyfikacje GPO, tworzenie nowych usług na wielu hostach w krótkim czasie.
2) Zablokuj wektor BYOVD / sterowniki podatne
- Włącz i egzekwuj polityki ograniczające ładowanie sterowników oraz korzystaj z mechanizmów blokowania podatnych sterowników (tam, gdzie to możliwe organizacyjnie). Trend Micro opisuje nadużycie zam64.sys w kontekście zabijania EDR/AV.
- Traktuj wykrycie ładowania podejrzanych sterowników lub tworzenia usług powiązanych ze sterownikami jako incydent wysokiej wagi.
3) Ogranicz „rozlew” przez GPO
- Zasada najmniejszych uprawnień dla edycji GPO; regularne przeglądy delegacji uprawnień. SharpGPOAbuse wykorzystuje błędną/luźną kontrolę praw do GPO.
- Twarde baseline’y i wersjonowanie zmian GPO (kto, kiedy, co zmienił) + automatyczne porównania konfiguracji.
4) Utwardź perymetr: IIS, web aplikacje, segmentacja
- Jeśli w środowisku są serwery IIS, traktuj je jak „strefę ryzyka”: aktualizacje, minimalizacja powierzchni ataku, monitoring nietypowych plików (np. webshell). TeamT5 opisuje scenariusz przyczółka na IIS i webshell/tunel.
- Segmentuj sieć (kliniczne/administracyjne/serwerowe), aby utrudnić pivot i masowe wdrożenie.
5) Odporność na wymuszenia
- Kopie zapasowe: 3-2-1, kopie offline/immutable, regularne testy odtwarzania (RTO/RPO pod kątem systemów krytycznych).
- Playbook IR dla ransomware: izolacja, triage AD, odcięcie GPO/SMB w trybie awaryjnym, komunikacja kryzysowa, współpraca z CERT i organami ścigania.
Różnice / porównania z innymi przypadkami
- Nie „tylko szyfrowanie”: CrazyHunter wpisuje się w trend, gdzie kluczowe jest wcześniejsze obezwładnienie ochrony (EDR/AV) i przejęcie mechanizmów administracyjnych (AD/GPO). To inny profil niż „szybkie” ransomware odpalane ręcznie na kilku hostach.
- Open-source jako akcelerator: wysoki udział narzędzi z GitHuba (Trend Micro: ok. 80%) pokazuje, że przewaga powstaje w integracji TTP, a nie w „unikalnym malware” od zera.
- Sektor medyczny jako cel pierwszego wyboru: Trellix wskazuje, że powtarzalność ataków na tajwańskie szpitale wynika z wrażliwości na przestoje i wartości danych pacjentów.
Podsumowanie / kluczowe wnioski
CrazyHunter to przykład „nowej generacji” kampanii ransomware: AD jako mnożnik skali, GPO jako kanał dystrybucji, BYOVD jako wytrych do zdejmowania EDR, a na końcu szyfrowanie i presja publikacji danych.
Jeśli chcesz potraktować ten temat priorytetowo w 2026 roku, zacznij od trzech rzeczy: (1) higiena i monitoring AD/GPO, (2) kontrola ładowania sterowników i ochrona przed BYOVD, (3) odporność operacyjna (segmentacja + kopie + testy odtworzeń). To właśnie te elementy „łamią” najważniejsze dźwignie CrazyHunter.
Źródła / bibliografia
- Trellix – The Ghost in the Machine: Unmasking CrazyHunter’s Stealth Tactics (6 stycznia 2026). (Trellix)
- Trend Micro – CrazyHunter Campaign Targets Taiwanese Critical Sectors (16 kwietnia 2025). (www.trendmicro.com)
- WithSecure Labs – CrazyHunter: The Rising Threat of Open-Source Ransomware (31 marca 2025). (labs.withsecure.com)
- TeamT5 – [Case Study] CrazyHunter Ransomware Attacks Targeted Taiwan Hospitals (17 marca 2025). (teamt5.org)
- Focus Taiwan (CNA) – Taiwan traces Chinese hackers selling stolen data to trafficking ring (28 sierpnia 2025). (Focus Taiwan – CNA English News)