Tag: Malware

Wprowadzenie do problemu / definicja luki

Historia z Holandii jest podręcznikowym przykładem tego, jak cyberbezpieczeństwo infrastruktury logistycznej przestaje być „tylko IT”, a staje się elementem walki z przestępczością zorganizowaną. Amsterdamzki sąd apelacyjny skazał 44-letniego obywatela Holandii na 7 lat więzienia za przestępstwa obejmujące m.in. włamania komputerowe i usiłowanie wymuszenia, a w tle pojawia się scenariusz, który branża portowa zna aż za dobrze: ułatwienie niezauważonego importu narkotyków przez manipulację danymi i procesami w łańcuchu dostaw.

W praktyce „luka” nie sprowadza się do jednego CVE, tylko do połączenia trzech słabości:

1. podatności procesu (kto i jak może wprowadzać nośniki USB / wykonywać działania na stacjach roboczych),
2. braku skutecznego ograniczania i wykrywania zdalnego dostępu (RAT/remote access malware),
3. wysokiej wartości operacyjnej danych portowych (np. statusy kontenerów, dane o odprawach i „release”/wydaniu).

---

W skrócie

• Skazany miał pomagać grupie przestępczej w uzyskaniu dostępu do systemów używanych w portach Rotterdam, Barendrecht i Antwerpia, aby ułatwić przemyt narkotyków.
• Według opisu sprawy, dostęp uzyskano poprzez zainfekowanie systemów firmy logistycznej – z pomocą pracowników, którzy mieli włożyć nośniki USB z malware.
• Sprawę wzmocniły dowody z komunikatorów używanych przez przestępców (m.in. Sky ECC), które były przedmiotem sporu w apelacji – sąd je dopuścił.
• Prokuratura wskazywała m.in. na import 210 kg kokainy przez Port w Rotterdamie; sąd utrzymał kluczowe elementy skazania, choć wątek ogromnej partii (wspominane 5 000 kg) nie został utrzymany jako jeden z zarzutów.

---

Kontekst / historia / powiązania

Porty w Rotterdamie i Antwerpii to krytyczne węzły logistyczne Europy – i jednocześnie atrakcyjne cele dla siatek przemytniczych. Europol od lat opisuje zjawisko infiltracji portów przez zorganizowaną przestępczość: od klasycznej korupcji i „insiderów” po coraz bardziej cyfrowe metody, wykorzystujące rosnącą digitalizację portów i firm w łańcuchu dostaw.

W śledztwach przewija się też wątek zaszyfrowanych komunikatorów używanych przez przestępców (Sky ECC). W tej sprawie podejrzany argumentował, że pozyskane w ten sposób wiadomości nie powinny stanowić dowodu – ale apelacja nie podzieliła tej argumentacji.

Co ważne: dziennikarskie materiały śledcze (NarcoFiles/OCCRP) opisują, jak dostęp do systemów zarządzania kontenerami potrafi dać przestępcom przewagę „biznesową”: wskazać najlepsze kontenery do ukrycia kontrabandy, a potem ułatwić odbiór na końcu procesu.

---

Analiza techniczna / szczegóły luki

Z dostępnych opisów wynika dość klarowny łańcuch ataku – typowy dla środowisk, gdzie miesza się insider threat z malware:

1) Wejście przez pracowników i nośniki USB

W sprawie wskazano, że systemy firmy logistycznej zostały naruszone przez pracowników, którzy włożyli pendrive’y zawierające złośliwe oprogramowanie. Źródła nie przesądzają, czy była to socjotechnika, czy korupcja (albo kombinacja).

To element krytyczny: USB to wciąż skuteczny kanał w środowiskach operacyjnych (logistyka, OT/ICS, terminale), gdzie bywa:

• realna potrzeba przenoszenia plików „offline”,
• presja czasu,
• luki w egzekwowaniu polityk urządzeń wymiennych.

2) Zdalny dostęp (remote access malware) i utrwalenie

SecurityWeek opisuje użycie malware do zdalnego dostępu wdrażanego w ramach spisku, co sugeruje typowy model: początkowa infekcja → doinstalowanie narzędzia zdalnej kontroli → utrzymanie dostępu i praca na danych.

3) Cel: dane i funkcje portowe (a nie „szyfrowanie dla okupu”)

Wątek „portów” w tej sprawie jest kluczowy: nie chodzi o klasyczne ransomware i paraliż operacji, tylko o cichy dostęp, który pozwala:

• pozyskiwać informacje o kontenerach,
• śledzić statusy i lokalizacje,
• wykorzystywać procedury wydania/odbioru kontenera.

Europol opisuje szerzej modus operandi, w którym przestępcy przejmują kody referencyjne kontenerów (PIN/QR/identyfikatory) potrzebne do odbioru – a digitalizacja portów zwiększa pole do nadużyć poprzez włamania i manipulacje w systemach danych.

4) Dodatkowe przestępstwa: „monetyzacja” narzędzi

W materiale BleepingComputer wskazano także, że między 15.09.2020 a 24.04.2021 oskarżony (z innymi osobami) próbował odsprzedawać malware wraz z instrukcjami użycia. To ważny sygnał: narzędzia przygotowane pod jeden „kontrakt” w świecie przestępczym często zaczynają żyć własnym życiem jako produkt.

---

Praktyczne konsekwencje / ryzyko

Dla portów i operatorów terminali

• Ryzyko ukrytego naruszenia (stealth breach): brak natychmiastowych objawów (brak przestoju), a skutki materialne i reputacyjne mogą pojawić się dopiero po czasie (np. po przechwyceniu przesyłki lub dochodzeniu).
• Ryzyko nadużyć procesowych: jeśli przestępca widzi w systemie, kiedy i gdzie kontener jest dostępny, może zsynchronizować „odbiór” i ominąć klasyczne bariery fizyczne.

Dla firm logistycznych (spedycja, agencje, przewoźnicy)

• Jesteś „wejściem” do portu: atak nie musi uderzać bezpośrednio w infrastrukturę portową – wystarczy słabsze ogniwo w ekosystemie, które ma integracje, konta, dostęp do danych lub workflow.
• Wymuszenia i presja: sprawa zawiera też komponent usiłowania wymuszenia, co pokazuje, że przestępcy mogą łączyć dostęp operacyjny z presją finansową.

Dla bezpieczeństwa publicznego

Europol podkreśla, że infiltracja portów wiąże się nie tylko z przemytem, ale również z korupcją, przemocą i eskalacją zagrożeń wokół węzłów transportowych.

---

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań, które realnie „tną” ten typ scenariusza (USB → RAT → dane portowe):

1. Twarda kontrola urządzeń wymiennych (USB device control)

• domyślne blokowanie pamięci masowych,
• wyjątki tylko na podstawie uzasadnienia i rejestru,
• skanowanie i „content disarm & reconstruction” tam, gdzie to możliwe.

2. Segmentacja i zasada najmniejszych uprawnień dla systemów portowych

• odseparowanie stanowisk biurowych od systemów krytycznych,
• ograniczenie dostępu do danych kontenerowych tylko do ról, które muszą je widzieć,
• przegląd kont serwisowych i integracji.

3. Wykrywanie i ograniczanie zdalnego dostępu

• allow-listing narzędzi zdalnych (i blokada „cichych” RAT),
• EDR z regułami na persistence (harmonogramy zadań, run keys, usługi),
• alerty na nietypowe połączenia wychodzące i tunelowanie.

4. Ochrona procesu „release” i danych referencyjnych kontenerów
   Europol zwraca uwagę, że ograniczenie liczby osób mających dostęp do kodów referencyjnych i wzmocnienie kontroli nad nimi potrafi znacząco ograniczać nadużycia. W praktyce: audyt, minimalizacja ekspozycji, dodatkowe kontrole i korelacja zdarzeń.
5. Program przeciwdziałania insider threat

• szkolenia ukierunkowane na realne scenariusze (USB, „przysługa” dla znajomego, presja),
• kanały zgłaszania prób korupcji,
• rotacja zadań i rozdział obowiązków tam, gdzie jest to możliwe.

6. Ćwiczenia i IR pod „ciche naruszenie”
   W logistyce i portach trzeba ćwiczyć nie tylko ransomware, ale też scenariusz: „ktoś ma dostęp i wyciąga dane tygodniami”.

---

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Warto odróżnić dwa modele działania, które często się mieszają:

• Klasyczna infiltracja przez ludzi i proces (korupcja/insiderzy): przestępcy zdobywają informacje o kontenerze „z wnętrza” organizacji i organizują odbiór.
• Infiltracja cyfrowa (atak na systemy danych): rosnąca digitalizacja portów tworzy okazje do przejęcia danych i manipulacji bez fizycznej obecności w terminalu – Europol wprost opisuje trend „breached and manipulated IT systems” oraz przejmowanie kodów referencyjnych z systemów uczestników łańcucha dostaw.

W opisywanym wyroku istotne jest to, że cyberatak był traktowany jako narzędzie operacyjne dla przemytu (a nie cel sam w sobie) – zgodnie z narracją, którą prezentują też materiały śledcze o „usługach” hakerów dla grup przestępczych.

---

Podsumowanie / kluczowe wnioski

• To sprawa o cyberataku, ale motywacja i skutki są „fizyczne”: wsparcie przemytu i praca na danych logistycznych.
• Łańcuch ataku (USB → malware/RAT → dostęp do danych portowych) pokazuje, że w portach i logistyce „stare” wektory nadal działają, jeśli procesy i kontrola urządzeń końcowych są słabe.
• Europol od lat ostrzega, że digitalizacja portów to również digitalizacja ryzyk: przejęcie danych referencyjnych i manipulacja systemami może zastępować (lub uzupełniać) klasyczną korupcję.

---

Źródła / bibliografia

1. BleepingComputer – opis wyroku i elementy sprawy (USB, malware, zakres czynów). (BleepingComputer)
2. The Record (Recorded Future News) – kontekst wyroku i wątek 210 kg kokainy / roli technicznej w siatce przestępczej. (The Record from Recorded Future)
3. SecurityWeek – podkreślenie użycia malware do zdalnego dostępu i tła Sky ECC. (SecurityWeek)
4. OCCRP (NarcoFiles) – tło operacyjne: jak dostęp do systemów kontenerowych wspiera przemyt. (OCCRP)
5. Europol – raport o infiltracji portów i mechanizmach typu przejmowanie kodów referencyjnych/PIN code fraud oraz rosnącej roli incydentów IT.

Wprowadzenie do problemu / definicja luki

CrazyHunter to świeża, ale szybko dojrzewająca kampania ransomware, która w krótkim czasie zaczęła łączyć klasyczne elementy wymuszeń (szyfrowanie + wyciek danych) z technikami kojarzonymi raczej z bardziej „profesjonalnymi” intruzami: nadużycia Active Directory, dystrybucja przez GPO oraz agresywne obchodzenie zabezpieczeń poprzez BYOVD (Bring Your Own Vulnerable Driver), czyli wykorzystanie podatnego sterownika w jądrze systemu do wyłączania ochrony.

W praktyce oznacza to, że organizacje – szczególnie szpitale – mogą przegrać wyścig z czasem: jeśli atakujący wejdą do domeny i zneutralizują EDR/AV, wdrożenie szyfrowania „na masową skalę” jest kwestią minut, nie dni.

---

W skrócie

• Według analizy Trellix, CrazyHunter to ransomware napisane w Go, powiązane/forkowane z „Prince ransomware”, z 6 znanymi ofiarami w Tajwanie i silnym ukierunkowaniem na ochronę zdrowia.
• Trend Micro opisuje szerokie użycie narzędzi open-source (ok. 80% toolsetu) oraz elementy takie jak ZammoCide i SharpGPOAbuse, a także szyfrowanie ChaCha20 + ECIES i rozszerzenie „.Hunter”.
• W realnych incydentach w szpitalach pojawiają się wczesne artefakty typu webshell (np. Godzilla) i tunele (reGeorg) na serwerach IIS – czyli scenariusz „wejście przez perymetr → pivot do AD → GPO → masowe wdrożenie”.
• Tło operacyjne kampanii w Tajwanie obejmuje znane, nagłośnione przypadki (m.in. Mackay Memorial Hospital), gdzie raportowano szeroką skalę szyfrowania urządzeń i przerwy w systemach.
• Tajwańskie organy śledcze łączyły nazwę „CrazyHunter” z grupą przestępczą i handlem wykradzionymi danymi; wątek ten pokazuje, że ryzyko nie kończy się na samym szyfrowaniu.

---

Kontekst / historia / powiązania

Z perspektywy ekosystemu ransomware CrazyHunter jest ciekawy z dwóch powodów:

1. „Demokratyzacja” zdolności ofensywnych: Trend Micro wskazuje, że duża część narzędzi pochodzi z GitHuba (ok. 80%), w tym builder „Prince Ransomware” – co obniża próg wejścia dla grup, które potrafią integrować gotowe elementy w spójny łańcuch ataku.
2. Konsekwentne ukierunkowanie geograficzne i sektorowe: raporty Trellix i Trend Micro opisują koncentrację na Tajwanie, w tym na podmiotach kluczowych (szpitale, edukacja, przemysł). Dla ochrony zdrowia jest to szczególnie bolesne, bo „koszt przestoju” jest ekstremalnie wysoki.

Dodatkowo, tajwańskie doniesienia śledcze wiążą aktywność pod marką „CrazyHunter” z przestępczością ukierunkowaną na monetyzację danych (sprzedaż wykradzionych rekordów), co pasuje do modelu podwójnego wymuszenia.

---

Analiza techniczna / szczegóły luki

1) Wejście i rekonesans: od IIS/webshelli do sieci wewnętrznej

W case study TeamT5 (bazującym na informacjach H-ISAC i wstępnych ustaleniach MSSP) pojawia się scenariusz początkowego przyczółka na „IIS Web” oraz użycie webshella i tunelowania (Godzilla, reGeorg). To typowy wzorzec: stały dostęp → skanowanie intranetu → poszukiwanie ścieżki do Active Directory.

2) Active Directory jako „dźwignia” do masowej dystrybucji

Trellix opisuje, że atakujący często zaczynają od słabości w AD (np. słabe hasła kont domenowych), a następnie przechodzą do szybkiej propagacji. Kluczowym elementem jest nadużycie GPO (Group Policy Objects) do „rozlania” payloadu po wielu hostach.

Trend Micro doprecyzowuje użycie narzędzia SharpGPOAbuse – jeśli atakujący mają (lub zdobędą) odpowiednie uprawnienia do edycji GPO, mogą wymusić uruchamianie złośliwych komponentów na maszynach objętych polityką.

3) Obrona? Najpierw ją wyłącz: BYOVD i sterownik Zemana (zam64.sys)

Najbardziej niepokojący element to BYOVD – Trend Micro opisuje użycie zmodyfikowanego narzędzia ZammoCide, które wykorzystuje podatny sterownik Zemana (zam64.sys) do zabijania procesów ochronnych (AV/EDR), nawet w trybie jądra.

Trellix również akcentuje BYOVD jako „wyróżnik” kampanii i opisuje użycie zmodyfikowanego sterownika Zemana jako metody eskalacji i obchodzenia kontroli bezpieczeństwa.

4) Szyfrowanie i wymuszenia: Go, ChaCha20/ECIES, „.Hunter”

Trend Micro wskazuje, że etap „Impact” opiera się o wariant bazujący na Prince ransomware (Go), z szyfrowaniem ChaCha20 + ECIES, zmianą tapety i notą okupu, a także rozszerzeniem “.Hunter” dla zaszyfrowanych plików.

Trellix dodaje, że aktor utrzymuje też data leak site, co wzmacnia presję poprzez groźbę publikacji danych.

5) Przykład wpływu na szpital: skala i przestoje

WithSecure opisuje incydent w Mackay Memorial Hospital (od 9 lutego 2025), w którym raportowano szyfrowanie setek urządzeń i zakłócenia działania kluczowych systemów, co dobrze ilustruje, dlaczego ataki na ochronę zdrowia są tak „opłacalne” dla wymuszeń.

---

Praktyczne konsekwencje / ryzyko

1. Ryzyko operacyjne (ciągłość działania): w szpitalach nawet krótkotrwała niedostępność systemów to realny wpływ na diagnostykę, przyjęcia i procedury kliniczne.
2. Ryzyko domenowe (AD jako single point of failure): jeśli atakujący „wygrają” w AD, potrafią narzucić wykonywanie złośliwych działań na setkach stacji naraz (GPO), a równolegle zdejmować ochronę BYOVD.
3. Ryzyko danych i regulacyjne: model podwójnego wymuszenia (szyfrowanie + wyciek/sprzedaż) podnosi koszt incydentu o zawiadomienia, dochodzenia, potencjalne kary i szkody reputacyjne. Wątek sprzedaży danych pojawia się w doniesieniach śledczych z Tajwanu.

---

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań, które realnie „tną” łańcuch CrazyHunter na kilku etapach — bez wchodzenia w instruktaż ofensywny:

1) Utwardź Active Directory (priorytet #1)

• Wymuś silne hasła i MFA dla kont uprzywilejowanych oraz dostępu zdalnego; usuń/ogranicz konta z nadmiernymi uprawnieniami. (Trellix wskazuje AD jako częsty punkt startu i motor propagacji).
• Monitoruj i alarmuj na: nietypowe logowania, zmiany członkostwa w grupach uprzywilejowanych, modyfikacje GPO, tworzenie nowych usług na wielu hostach w krótkim czasie.

2) Zablokuj wektor BYOVD / sterowniki podatne

• Włącz i egzekwuj polityki ograniczające ładowanie sterowników oraz korzystaj z mechanizmów blokowania podatnych sterowników (tam, gdzie to możliwe organizacyjnie). Trend Micro opisuje nadużycie zam64.sys w kontekście zabijania EDR/AV.
• Traktuj wykrycie ładowania podejrzanych sterowników lub tworzenia usług powiązanych ze sterownikami jako incydent wysokiej wagi.

3) Ogranicz „rozlew” przez GPO

• Zasada najmniejszych uprawnień dla edycji GPO; regularne przeglądy delegacji uprawnień. SharpGPOAbuse wykorzystuje błędną/luźną kontrolę praw do GPO.
• Twarde baseline’y i wersjonowanie zmian GPO (kto, kiedy, co zmienił) + automatyczne porównania konfiguracji.

4) Utwardź perymetr: IIS, web aplikacje, segmentacja

• Jeśli w środowisku są serwery IIS, traktuj je jak „strefę ryzyka”: aktualizacje, minimalizacja powierzchni ataku, monitoring nietypowych plików (np. webshell). TeamT5 opisuje scenariusz przyczółka na IIS i webshell/tunel.
• Segmentuj sieć (kliniczne/administracyjne/serwerowe), aby utrudnić pivot i masowe wdrożenie.

5) Odporność na wymuszenia

• Kopie zapasowe: 3-2-1, kopie offline/immutable, regularne testy odtwarzania (RTO/RPO pod kątem systemów krytycznych).
• Playbook IR dla ransomware: izolacja, triage AD, odcięcie GPO/SMB w trybie awaryjnym, komunikacja kryzysowa, współpraca z CERT i organami ścigania.

---

Różnice / porównania z innymi przypadkami

• Nie „tylko szyfrowanie”: CrazyHunter wpisuje się w trend, gdzie kluczowe jest wcześniejsze obezwładnienie ochrony (EDR/AV) i przejęcie mechanizmów administracyjnych (AD/GPO). To inny profil niż „szybkie” ransomware odpalane ręcznie na kilku hostach.
• Open-source jako akcelerator: wysoki udział narzędzi z GitHuba (Trend Micro: ok. 80%) pokazuje, że przewaga powstaje w integracji TTP, a nie w „unikalnym malware” od zera.
• Sektor medyczny jako cel pierwszego wyboru: Trellix wskazuje, że powtarzalność ataków na tajwańskie szpitale wynika z wrażliwości na przestoje i wartości danych pacjentów.

---

Podsumowanie / kluczowe wnioski

CrazyHunter to przykład „nowej generacji” kampanii ransomware: AD jako mnożnik skali, GPO jako kanał dystrybucji, BYOVD jako wytrych do zdejmowania EDR, a na końcu szyfrowanie i presja publikacji danych.

Jeśli chcesz potraktować ten temat priorytetowo w 2026 roku, zacznij od trzech rzeczy: (1) higiena i monitoring AD/GPO, (2) kontrola ładowania sterowników i ochrona przed BYOVD, (3) odporność operacyjna (segmentacja + kopie + testy odtworzeń). To właśnie te elementy „łamią” najważniejsze dźwignie CrazyHunter.

---

Źródła / bibliografia

1. Trellix – The Ghost in the Machine: Unmasking CrazyHunter’s Stealth Tactics (6 stycznia 2026). (Trellix)
2. Trend Micro – CrazyHunter Campaign Targets Taiwanese Critical Sectors (16 kwietnia 2025). (www.trendmicro.com)
3. WithSecure Labs – CrazyHunter: The Rising Threat of Open-Source Ransomware (31 marca 2025). (labs.withsecure.com)
4. TeamT5 – [Case Study] CrazyHunter Ransomware Attacks Targeted Taiwan Hospitals (17 marca 2025). (teamt5.org)
5. Focus Taiwan (CNA) – Taiwan traces Chinese hackers selling stolen data to trafficking ring (28 sierpnia 2025). (Focus Taiwan – CNA English News)