Archiwa: Phishing - Strona 13 z 134 - Security Bez Tabu

Tag: Phishing

Naruszenie danych w Charter Communications objęło 4,9 mln kont klientów i pracowników

Cybersecurity news

Wprowadzenie do problemu / definicja

Charter Communications potwierdził incydent bezpieczeństwa, który doprowadził do ujawnienia danych powiązanych z 4,9 mln unikalnych kont. To kolejny przykład naruszenia, w którym kluczową rolę odegrała kompromitacja tożsamości użytkownika oraz dostęp do usług chmurowych przechowujących duże wolumeny danych klientów i informacji operacyjnych.

Sprawa pokazuje, że współczesne ataki coraz częściej nie zaczynają się od klasycznego włamania do sieci, lecz od przejęcia konta pracownika i wykorzystania zaufanych integracji między systemami SaaS. W praktyce oznacza to, że pojedynczy błąd lub skuteczna socjotechnika mogą otworzyć drogę do systemów CRM zawierających miliony rekordów.

W skrócie

  • Incydent dotyczył 4,9 mln unikalnych kont.
  • Atak miał rozpocząć się na początku kwietnia 2026 r.
  • Punktem wejścia był prawdopodobnie atak vishingowy wymierzony w pracownika.
  • Po przejęciu konta w środowisku Microsoft Entra napastnicy uzyskali dostęp do Salesforce.
  • Po odmowie zapłaty okupu skradzione dane zostały opublikowane.

Kontekst / historia

Incydent w Charter Communications wpisuje się w szerszy trend ataków na organizacje korzystające z rozbudowanych platform SaaS, zwłaszcza systemów CRM, narzędzi obsługi klienta oraz usług opartych na centralnym zarządzaniu tożsamością. Takie środowiska są szczególnie atrakcyjne dla cyberprzestępców, ponieważ agregują dane kontaktowe, historię zgłoszeń, informacje abonamentowe i rekordy dotyczące relacji z klientami.

W tym przypadku odpowiedzialność za operację przypisywana jest grupie ShinyHunters, znanej z kradzieży danych i wymuszeń opartych na groźbie publikacji. Model działania tej grupy zwykle łączy przejęcie tożsamości, szybki dostęp do zasobów chmurowych oraz presję na ofiarę, aby zapłaciła okup przed upublicznieniem danych.

Z perspektywy sektora telekomunikacyjnego zdarzenie ma szczególne znaczenie. Operatorzy przechowują rozległe zbiory danych klientów, a przejęcie takich informacji może być później wykorzystywane nie tylko do szantażu, lecz także do kolejnych kampanii phishingowych, oszustw podszywających się pod biura obsługi oraz ataków na partnerów biznesowych.

Analiza techniczna

Z dostępnych informacji wynika, że atak rozpoczął się od vishingu, czyli socjotechniki prowadzonej przez kanał głosowy. W takich scenariuszach przestępcy podszywają się pod pracowników helpdesku, działu bezpieczeństwa, administratorów lub przedstawicieli dostawcy usług, aby nakłonić ofiarę do ujawnienia danych logowania, zatwierdzenia żądania MFA albo wykonania czynności umożliwiającej przejęcie konta.

Po kompromitacji konta w Microsoft Entra napastnicy mieli uzyskać dostęp do systemów zintegrowanych z tożsamością użytkownika. To istotny element nowoczesnych środowisk chmurowych: jeśli konto korzysta z SSO i ma odpowiednie uprawnienia, atakujący mogą poruszać się między usługami bez konieczności przełamywania kolejnych warstw ochrony.

Kolejnym etapem miało być pobranie danych z instancji Salesforce. Zakres ujawnionych informacji obejmował między innymi imiona i nazwiska, adresy e-mail, adresy fizyczne, numery telefonów, informacje o planach usługowych, dane związane ze zgłoszeniami serwisowymi oraz część rekordów dotyczących pracowników. Analiza opublikowanego zbioru wskazała na 4,9 mln unikalnych adresów e-mail, a w części rekordów pracowniczych znajdowały się również stanowiska służbowe.

Technicznie był to atak oparty na połączeniu trzech czynników: przejęcia tożsamości, zaufania między usługami chmurowymi oraz możliwości masowego eksportu danych z systemu CRM. To właśnie taki model sprawia dziś organizacjom największy problem, ponieważ tradycyjne podejście skoncentrowane na ochronie sieci perymetrycznej nie wystarcza do zabezpieczenia aplikacji biznesowych w chmurze.

Konsekwencje / ryzyko

Skala naruszenia oznacza istotne ryzyko zarówno dla klientów, jak i dla samej organizacji. Nawet jeśli w wycieku nie znalazły się kompletne dane finansowe czy pełne identyfikatory o najwyższej wrażliwości, zestaw danych kontaktowych i operacyjnych ma dużą wartość dla przestępców planujących kolejne etapy ataku.

Dla klientów najważniejsze zagrożenia obejmują:

  • ukierunkowany phishing i smishing,
  • podszywanie się pod operatora telekomunikacyjnego lub dział wsparcia,
  • próby przejęcia kont powiązanych z numerem telefonu lub adresem e-mail,
  • oszustwa wykorzystujące wiedzę o planie taryfowym, historii kontaktu z obsługą lub danych adresowych.

Dla organizacji konsekwencje mogą obejmować:

  • koszty obsługi incydentu i notyfikacji,
  • potencjalne skutki regulacyjne i prawne,
  • spadek zaufania klientów,
  • dalsze próby wymuszeń po publikacji danych,
  • wykorzystanie ujawnionych rekordów do ataków na pracowników i partnerów biznesowych.

Szczególnie groźne są informacje pochodzące z systemów obsługi klienta, ponieważ pozwalają przygotować bardzo wiarygodne scenariusze socjotechniczne. Przestępca dysponujący imieniem, numerem telefonu, adresem i kontekstem usługi może skuteczniej przekonać ofiarę do resetu hasła, instalacji złośliwego oprogramowania lub ujawnienia kolejnych danych.

Rekomendacje

Organizacje wykorzystujące Microsoft Entra, Salesforce i inne platformy SaaS powinny potraktować ten incydent jako sygnał do pilnego przeglądu bezpieczeństwa tożsamości, integracji chmurowych oraz kontroli eksfiltracji danych.

  • Wzmocnienie ochrony tożsamości: warto wdrożyć phishing-resistant MFA, najlepiej z użyciem kluczy sprzętowych FIDO2 lub innych metod odpornych na przechwycenie sesji.
  • Ograniczenie uprawnień: należy zweryfikować, które konta mają dostęp do danych klientów oraz możliwość eksportu dużych zbiorów rekordów.
  • Monitorowanie anomalii: kluczowe jest wykrywanie nietypowych logowań, nowych lokalizacji, nieznanych urządzeń, nadmiernych wywołań API i masowych eksportów danych.
  • Szkolenia przeciwko vishingowi: programy bezpieczeństwa powinny uwzględniać nie tylko phishing e-mailowy, ale również scenariusze głosowe i procedury potwierdzania działań drugim kanałem.
  • Przegląd integracji SaaS: konieczny jest audyt konfiguracji SSO, tokenów aplikacyjnych, uprawnień OAuth i polityk sesji.
  • Kontrola eksfiltracji: warto wdrożyć alerty dla masowego pobierania rekordów, ograniczenia eksportu i mechanizmy DLP w usługach chmurowych.
  • Gotowość na publikację danych: plan reagowania powinien obejmować scenariusz upublicznienia skradzionych danych, komunikację z klientami i wsparcie dla zespołów contact center.

Podsumowanie

Naruszenie danych w Charter Communications pokazuje, że współczesne incydenty coraz częściej zaczynają się od kompromitacji tożsamości, a nie od klasycznego wykorzystania podatności infrastrukturalnych. Przejęcie jednego konta pracownika może umożliwić dostęp do systemów CRM zawierających miliony rekordów klientów.

Dla organizacji najważniejszą lekcją jest konieczność połączenia odpornego uwierzytelniania, ścisłej kontroli uprawnień, monitoringu aktywności w usługach SaaS oraz skutecznych procedur przeciwdziałania socjotechnice. W przypadku firm telekomunikacyjnych bezpieczeństwo danych klientów musi być dziś traktowane przede wszystkim jako problem zarządzania tożsamością, zaufaniem między usługami chmurowymi i wykrywaniem eksfiltracji danych.

Źródła

ChatGPhish: jak podatność w podsumowaniach WWW może zmienić ChatGPT w narzędzie phishingu

Cybersecurity news

Wprowadzenie do problemu / definicja

ChatGPhish to technika ataku opisana przez badaczy bezpieczeństwa, w której mechanizm podsumowywania stron internetowych przez asystenta AI staje się nośnikiem złośliwych treści. Sedno problemu nie ogranicza się do klasycznego prompt injection. Zagrożenie pojawia się wtedy, gdy system ufa elementom osadzonym w analizowanej stronie i przenosi je do odpowiedzi prezentowanej użytkownikowi w zaufanym interfejsie.

W praktyce oznacza to, że odpowiedź wygenerowana przez model może zawierać linki, obrazy, komunikaty ostrzegawcze lub inne elementy wizualne kontrolowane pośrednio przez atakującego. Dla użytkownika taka treść wygląda jak część wiarygodnej odpowiedzi systemu, mimo że jej źródłem jest zewnętrzna, potencjalnie złośliwa strona WWW.

W skrócie

  • Atakujący przygotowuje stronę zoptymalizowaną pod podsumowanie przez AI.
  • W treści umieszcza złośliwe elementy Markdown, odnośniki, obrazy lub komunikaty phishingowe.
  • Użytkownik prosi asystenta o streszczenie tej strony.
  • Model generuje odpowiedź zawierającą aktywne elementy pochodzące z nieufnego źródła.
  • Interfejs prezentuje je jako część zaufanej odpowiedzi, zwiększając skuteczność socjotechniki.

Tym sposobem phishing może zostać dostarczony bez tradycyjnej wiadomości e-mail, załącznika czy reklamy malvertisingowej. Wystarczy samo skorzystanie z funkcji analizy lub podsumowania treści internetowej.

Kontekst / historia

Pośrednie wstrzyknięcia poleceń do modeli językowych są analizowane od dawna. Wcześniejsze badania pokazywały, że ukryte instrukcje mogą być osadzane w dokumentach, wiadomościach e-mail, stronach internetowych czy repozytoriach kodu, wpływając na odpowiedzi lub działania systemów AI.

ChatGPhish rozwija ten scenariusz, przesuwając ciężar zagrożenia z samej semantyki modelu na warstwę prezentacji odpowiedzi. Problemem nie jest wyłącznie to, że model może zostać zmanipulowany, lecz także to, że końcowy interfejs może wyrenderować złośliwe elementy jako część zaufanego komunikatu. Oznacza to rozszerzenie powierzchni ataku na cały łańcuch przetwarzania: pobranie treści, interpretację, generowanie odpowiedzi i jej renderowanie.

Analiza techniczna

Rdzeń podatności stanowi zaufanie do elementów Markdown i innych artefaktów pochodzących z analizowanej strony. Jeżeli odpowiedź asystenta zachowuje klikalne linki, osadza zdalne obrazy lub prezentuje treści stylizowane na alerty, wówczas atakujący może wykorzystać tę ścieżkę do manipulacji użytkownikiem.

Scenariusz ataku może wyglądać następująco:

  • atakujący publikuje stronę zawierającą treści przygotowane specjalnie pod analizę przez model,
  • w treści osadza instrukcje, odsyłacze Markdown, zewnętrzne obrazy lub komunikaty imitujące ostrzeżenia bezpieczeństwa,
  • użytkownik prosi model o podsumowanie strony,
  • model generuje odpowiedź przejmując część tych elementów,
  • interfejs renderuje je jako wiarygodne składniki odpowiedzi AI.

To otwiera kilka praktycznych wektorów nadużyć. Zdalnie ładowane obrazy mogą działać jak beacony telemetryczne, pozwalając zebrać informacje techniczne o ofierze, takie jak adres IP, nagłówki klienta czy dane referencyjne. Klkalne linki mogą prowadzić do fałszywych paneli logowania lub stron wyłudzających dane. Stylizowane komunikaty bezpieczeństwa mogą zwiększać presję i wiarygodność ataku. Dodatkowo kody QR wyświetlone w odpowiedzi mogą przekierować ofiarę na urządzenie mobilne, gdzie część korporacyjnych mechanizmów ochronnych działa słabiej lub wcale.

Techniczna istota zagrożenia polega na tym, że użytkownik nie wchodzi w klasyczną interakcję z podejrzaną stroną w typowym modelu phishingowym. Zamiast tego ufa pośrednikowi, czyli odpowiedzi wygenerowanej przez narzędzie AI. Taki kontekst może znacząco zwiększać skuteczność ataku, ponieważ treść pojawia się w środowisku postrzeganym jako pomocne i wiarygodne.

Konsekwencje / ryzyko

Najważniejszą konsekwencją jest przekształcenie funkcji podsumowywania stron WWW w nową powierzchnię ataku. Organizacje korzystające z asystentów AI do researchu, analizy czy pracy operacyjnej muszą założyć, że standardowe użycie takich narzędzi może prowadzić do kontaktu z phishingiem poza tradycyjnymi kanałami komunikacji.

  • wyciek metadanych użytkownika podczas pobierania zewnętrznych zasobów,
  • wzrost skuteczności phishingu dzięki osadzeniu złośliwych elementów w zaufanym interfejsie,
  • możliwość omijania części zabezpieczeń korporacyjnych przez użycie kodów QR i przejście na urządzenia mobilne,
  • utrudniona detekcja incydentu, ponieważ aktywność wygląda jak zwykłe użycie narzędzia AI,
  • konieczność rozszerzenia modeli zagrożeń o ryzyka związane z renderowaniem odpowiedzi generowanych na podstawie nieufnych źródeł.

Dla zespołów bezpieczeństwa to kolejny sygnał, że zagrożenia wobec AI nie ograniczają się do manipulacji treścią modelu. Coraz większe znaczenie mają integracje, automatyzacje, warstwy prezentacji i interakcje wykonywane w imieniu użytkownika.

Rekomendacje

Organizacje powinny traktować odpowiedzi generowane przez asystentów AI na podstawie zewnętrznych źródeł jako dane potencjalnie nieufne. Dotyczy to zwłaszcza funkcji streszczania stron WWW, które mogą przenosić elementy kontrolowane przez osoby trzecie do zaufanego interfejsu użytkownika.

Po stronie dostawcy i aplikacji warto wdrożyć:

  • sanityzację i neutralizację elementów Markdown pochodzących z treści zewnętrznych,
  • blokowanie automatycznego pobierania zdalnych obrazów w odpowiedziach opartych na niezweryfikowanych źródłach,
  • czytelne oznaczanie domen docelowych linków oraz informowanie, że pochodzą z analizowanej strony,
  • separację warstwy danych źródłowych od warstwy zaufanego interfejsu,
  • mechanizmy wykrywania pośrednich prompt injection i nadużyć prezentacyjnych.

Po stronie organizacji zalecane są:

  • aktualizacja modelu zagrożeń o AI-assisted phishing,
  • ograniczenie użycia funkcji podsumowywania niezweryfikowanych stron w środowiskach uprzywilejowanych,
  • monitorowanie ruchu wychodzącego generowanego przez aplikacje AI,
  • szkolenie użytkowników, by nie uznawali treści prezentowanych przez AI za domyślnie bezpieczne,
  • weryfikacja linków i kodów QR pojawiających się w odpowiedziach modeli,
  • stosowanie izolacji przeglądania i sandboxingu dla narzędzi używanych do analizy treści internetowych.

Z perspektywy SOC i blue teamu istotne może być także logowanie źródeł, z których model budował odpowiedź, oraz tworzenie reguł detekcji dla nietypowych połączeń HTTP inicjowanych przez aplikacje AI.

Podsumowanie

ChatGPhish pokazuje, że bezpieczeństwo systemów AI zależy nie tylko od odporności samego modelu językowego. Równie ważne są sposób pobierania danych, interpretacja treści zewnętrznych i renderowanie odpowiedzi w interfejsie użytkownika. Jeśli zewnętrzna strona może wpłynąć nie tylko na sens odpowiedzi, ale też na aktywne elementy prezentowane przez asystenta, wtedy narzędzie AI staje się realnym kanałem phishingowym.

Dla firm i instytucji oznacza to potrzebę objęcia funkcji podsumowywania stron WWW takimi samymi zasadami kontroli jak poczty elektronicznej, przeglądarek czy komunikatorów. W przeciwnym razie wygoda korzystania z AI może stać się nowym punktem wejścia dla atakujących.

Źródła

  • https://thehackernews.com/2026/05/chatgphish-vulnerability-turns-chatgpt.html
  • https://permiso.io/blog/chatgphish
  • https://adversa.ai/
  • https://blogs.cisco.com/
  • https://unit42.paloaltonetworks.com/

Ataki na FortiClient EMS: luka CVE-2026-35616 posłużyła do dystrybucji infostealera EKZ

Cybersecurity news

Wprowadzenie do problemu / definicja

Aktywnie wykorzystywana podatność CVE-2026-35616 w FortiClient Enterprise Management Server (EMS) pokazuje, jak niebezpieczne może być przejęcie centralnej infrastruktury zarządzania punktami końcowymi. W tym przypadku napastnicy nie ograniczyli się do uzyskania dostępu do serwera zarządzającego, lecz wykorzystali go jako zaufany kanał do rozsyłania złośliwego oprogramowania do zarządzanych stacji roboczych. Kampania doprowadziła do wdrożenia nowego infostealera oznaczonego jako EKZ, podszywającego się pod legalną poprawkę dla oprogramowania Fortinet.

W skrócie

  • CVE-2026-35616 to krytyczna luka typu authentication bypass w FortiClient EMS.
  • Podatność umożliwia nieuwierzytelnionemu atakującemu wykonywanie działań administracyjnych, w tym zdalne uruchamianie poleceń lub kodu.
  • Napastnicy wykorzystywali przejęty serwer EMS do modyfikowania profili zdalnego dostępu i polityk endpointów.
  • Końcowym ładunkiem był infostealer EKZ kradnący dane z przeglądarek Chromium oraz Firefox.
  • Atak wyróżnia się użyciem legalnego, zaufanego kanału administracyjnego do dystrybucji malware.

Kontekst / historia

FortiClient EMS pełni rolę centralnego systemu zarządzania agentami FortiClient, politykami bezpieczeństwa oraz konfiguracją połączeń VPN. Tego typu platformy są wyjątkowo atrakcyjnym celem dla cyberprzestępców, ponieważ kompromitacja pojedynczego serwera może przełożyć się na szeroki wpływ na całe środowisko organizacji.

Podatność CVE-2026-35616 została publicznie powiązana z aktywnymi atakami na początku kwietnia 2026 roku. Producent potwierdził wykorzystanie luki w rzeczywistych kampaniach i opublikował awaryjne poprawki dla podatnych wersji 7.4.5 oraz 7.4.6. Jednocześnie wskazano, że linia 7.2 nie została objęta tym problemem. Sprawa zyskała dodatkową wagę po pilnych ostrzeżeniach dla administracji federalnej USA oraz doniesieniach o dużej liczbie publicznie dostępnych instancji EMS wystawionych do Internetu.

Z czasem analizy incydentów pokazały, że luka nie była używana wyłącznie do uzyskania dostępu administracyjnego. Atakujący zaczęli wykorzystywać centralne mechanizmy zarządzania FortiClient do masowego dostarczania złośliwego kodu na zarządzane endpointy, znacząco zwiększając skalę oddziaływania pojedynczej kompromitacji.

Analiza techniczna

Źródłem problemu jest nieprawidłowa kontrola dostępu w interfejsach API FortiClient EMS. W praktyce oznacza to możliwość wykonywania operacji administracyjnych bez poprawnego uwierzytelnienia. Po skutecznym obejściu mechanizmów dostępowych napastnik może ingerować w konfigurację systemu oraz polityki stosowane wobec agentów końcowych.

W obserwowanej kampanii łańcuch ataku przebiegał według powtarzalnego schematu. Najpierw napastnik wykorzystywał CVE-2026-35616 do uzyskania nieautoryzowanego dostępu do funkcji administracyjnych EMS. Następnie modyfikował profil Remote Access Profile i polityki endpointów, dodając skrypt uruchamiany po zestawieniu połączenia VPN. Po ustanowieniu tunelu IPsec komponent FortiClient uruchamiał skrypt wsadowy przy użyciu procesów systemowych, a ten wywoływał zakodowany w Base64 payload PowerShell. Kolejnym etapem było pobranie pliku wykonywalnego podszywającego się pod legalną poprawkę endpointową, który finalnie uruchamiał infostealera EKZ.

Istotne jest to, że złośliwy kod nie był dostarczany przez phishing ani przez odrębne włamanie na każdą stację. Dystrybucja odbywała się za pośrednictwem zaufanego kanału administracyjnego. W efekcie każdy zarządzany endpoint mógł stać się celem wykonania malware bez wzbudzania natychmiastowych podejrzeń użytkownika.

Sam EKZ Infostealer koncentruje się na kradzieży danych z przeglądarek. Obejmuje to zapisane hasła, ciasteczka sesyjne, dane autouzupełniania, informacje adresowe oraz dane kart płatniczych. Obsługiwane są zarówno przeglądarki oparte na Chromium, jak i Firefox. Szczególnie niebezpieczna jest zdolność do pozyskiwania ciasteczek i innych danych wspierających przejęcie aktywnych sesji, co może ograniczać skuteczność części mechanizmów MFA.

W analizach incydentów zwracano uwagę na sygnały ostrzegawcze w logach EMS. Jednym z ważniejszych wskaźników był komunikat o braku certyfikatu w nagłówku żądania, po którym mogły następować nietypowe operacje związane z certyfikatami i zmianami konfiguracji. Dodatkowo obserwowano logowania z infrastruktury VPS, z węzłów Tor oraz nieoczekiwane modyfikacje profili zdalnego dostępu.

Konsekwencje / ryzyko

Skutki kompromitacji FortiClient EMS są znacznie poważniejsze niż przejęcie pojedynczego hosta. W tym scenariuszu naruszona zostaje zaufana płaszczyzna zarządzania, która może posłużyć do równoczesnego wdrożenia złośliwych skryptów na wielu stacjach roboczych i systemach klienckich.

  • masowa dystrybucja malware do zarządzanych endpointów,
  • kradzież poświadczeń z przeglądarek i aplikacji webowych,
  • przejęcie sesji przy użyciu ciasteczek uwierzytelniających,
  • wtórny dostęp do usług chmurowych, paneli administracyjnych i aplikacji wewnętrznych,
  • ryzyko dalszego ruchu bocznego lub eskalacji do ransomware,
  • utrata integralności konfiguracji bezpieczeństwa dystrybuowanej centralnie.

Z perspektywy operacyjnej szczególnie niebezpieczne jest to, że część aktywności może przypominać legalne działania administracyjne. Jeśli organizacja nie monitoruje zmian w profilach VPN, uruchomień PowerShell inicjowanych przez komponenty FortiClient oraz nietypowych logowań do konsoli EMS, naruszenie może pozostać niewykryte przez dłuższy czas.

Rekomendacje

Organizacje korzystające z FortiClient EMS powinny potraktować ten typ incydentu jako zagrożenie dla całej floty zarządzanych urządzeń, a nie wyłącznie dla jednego serwera aplikacyjnego. Reakcja powinna obejmować zarówno działania naprawcze po stronie EMS, jak i szeroką weryfikację endpointów.

  • niezwłocznie zainstalować poprawki bezpieczeństwa lub przeprowadzić aktualizację do wersji wolnej od problemu,
  • sprawdzić, czy instancja EMS była wystawiona bezpośrednio do Internetu,
  • przeanalizować logi EMS pod kątem anomalii związanych z certyfikatami i próbami obejścia uwierzytelnienia,
  • zweryfikować ostatnie zmiany w profilach Remote Access Profile, politykach endpointów i skryptach uruchamianych po zestawieniu tunelu VPN,
  • monitorować uruchomienia cmd.exe i powershell.exe inicjowane przez procesy FortiClient,
  • poszukiwać artefaktów w katalogach związanych z logowaniem i skryptami klienta oraz podejrzanych plików w katalogach systemowych,
  • wykrywać połączenia HTTP do surowych adresów IP oraz sekwencje obejmujące pobranie, uruchomienie i eksfiltrację danych,
  • sprawdzić, czy nie pojawiły się nowe konta administracyjne lub logowania z nietypowych lokalizacji i ASN,
  • wymusić reset poświadczeń użytkowników przy podejrzeniu kradzieży danych z przeglądarek,
  • unieważnić aktywne sesje w systemach SaaS i aplikacjach wewnętrznych, aby ograniczyć skutki przejęcia ciasteczek.

W środowiskach o podwyższonych wymaganiach bezpieczeństwa warto dodatkowo odseparować płaszczyznę zarządzania EMS od sieci publicznej, ograniczyć dostęp administracyjny za pomocą segmentacji i list dozwolonych adresów oraz wdrożyć reguły detekcji skupione na nietypowych modyfikacjach centralnie dystrybuowanej konfiguracji VPN.

Podsumowanie

Kampania wykorzystująca CVE-2026-35616 przeciwko FortiClient EMS pokazuje, że atak na system zarządzający może mieć skutki porównywalne z naruszeniem o charakterze domenowym. Po obejściu uwierzytelnienia napastnicy użyli legalnych funkcji platformy do wypchnięcia infostealera EKZ na zarządzane endpointy, znacząco zwiększając skalę i skuteczność operacji.

Dla zespołów bezpieczeństwa kluczowy wniosek jest jasny: kompromitacja systemu EDR, UEM, MDM czy platformy zarządzania klientami VPN nie powinna być traktowana jak zwykły incydent serwerowy. Wymaga szybkiego łatania, monitorowania zmian konfiguracyjnych, analizy procesów potomnych uruchamianych przez agentów końcowych oraz założenia, że wszystkie zarządzane hosty mogły zostać narażone.

Źródła

  1. https://www.bleepingcomputer.com/news/security/hackers-exploit-forticlient-ems-flaw-to-push-infostealer-malware/
  2. https://www.bleepingcomputer.com/news/security/new-fortinet-forticlient-ems-flaw-cve-2026-35616-exploited-in-attacks/
  3. https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/
  4. https://docs.fortinet.com/document/forticlient/7.4.5/ems-release-notes/832484
  5. https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-fortinet-flaw-exploited-in-attacks-by-friday/

GREYVIBE: rosyjskojęzyczna grupa wykorzystuje AI do cyberataków wymierzonych w Ukrainę

Cybersecurity news

Wprowadzenie do problemu / definicja

GREYVIBE to nowo opisana grupa zagrożeń prowadząca operacje wymierzone w Ukrainę oraz podmioty powiązane z sektorem wojskowym, publicznym, cywilnym i biznesowym. Jej działalność wyróżnia łączenie klasycznych technik cyberwywiadowczych z wykorzystaniem narzędzi opartych na generatywnej sztucznej inteligencji, co pozwala szybciej przygotowywać infrastrukturę, przynęty socjotechniczne i komponenty złośliwego oprogramowania.

Z perspektywy obrońców jest to istotny sygnał zmiany w krajobrazie zagrożeń. Automatyzacja części procesu operacyjnego przez modele AI skraca czas potrzebny na tworzenie nowych wariantów malware i utrudnia wykrywanie kampanii wyłącznie na podstawie znanych sygnatur.

W skrócie

  • GREYVIBE prowadzi aktywne operacje co najmniej od sierpnia 2025 roku.
  • Grupa wykorzystuje spear phishing, fałszywe strony CAPTCHA, strony podszywające się pod ukraińskie podmioty oraz malware na Windows i Androida.
  • W arsenale aktora znalazły się m.in. PhantomRelay, LegionRelay i FallSpy.
  • Badacze wskazują, że modele AI i LLM wspierają rozwój elementów operacyjnych, obfuskację i przygotowanie infrastruktury.
  • Celem działań wydaje się przede wszystkim pozyskiwanie informacji wywiadowczych oraz utrzymywanie dostępu do środowisk ofiar.

Kontekst / historia

GREYVIBE wpisuje się w szerszy krajobraz operacji prowadzonych w interesie Federacji Rosyjskiej w kontekście wojny rosyjsko-ukraińskiej. Profil ofiar sugeruje ukierunkowanie na długotrwałe rozpoznanie i pozyskiwanie danych, a nie wyłącznie na destrukcję systemów czy szybki zysk finansowy.

Jednocześnie grupa nie sprawia wrażenia w pełni dojrzałego, jednolitego zespołu państwowego. Analitycy zwracają uwagę na błędy operacyjne, ślady testowych wersji malware oraz relacje z szerszym ekosystemem cyberprzestępczym. Taki model hybrydowy utrudnia jednoznaczną atrybucję i pokazuje, że granica między klasycznym APT a grupą przestępczą staje się coraz mniej wyraźna.

Analiza techniczna

GREYVIBE korzysta z kilku łańcuchów infekcji dostosowanych do rodzaju ofiary i wykorzystywanej platformy. W kampanii określanej jako PhantomMail stosowano wiadomości spear phishingowe zawierające odnośniki do archiwów ZIP lub RAR. Wewnątrz znajdował się loader JavaScript, który uruchamiał dokument-wabik i wdrażał komponent PhantomRelay. Ten pełnił rolę zdalnego trojana dostępowego opartego na PowerShell, umożliwiającego profilowanie hosta oraz wykonywanie poleceń systemowych.

Wariant PhantomClick bazował na stronach podszywających się pod legalne usługi i wykorzystywał mechanikę fałszywego CAPTCHA w stylu ClickFix. Ofiara była nakłaniana do samodzielnego uruchomienia poleceń, co prowadziło do wdrożenia kolejnego etapu infekcji. To przykład skutecznego połączenia socjotechniki z techniką living-off-the-land, ponieważ część działań wykonywano przy użyciu natywnych mechanizmów Windows.

Kampania PrincessClub wykorzystywała fałszywe strony ukraińskich klubów dla dorosłych. W zależności od urządzenia ofiara otrzymywała spyware FallSpy dla Androida albo malware PhantomRelayV1 i LegionRelay dla Windows. Późniejsze wersje stron zawierały też funkcję połączenia na żywo opartą na WebRTC, co mogło zwiększać wiarygodność przynęty i wspierać przechwytywanie audio lub wideo.

FallSpy został opisany jako spyware dla Androida nastawiony na pozyskiwanie wrażliwych danych z urządzenia. LegionRelay to z kolei lekki RAT oparty na PowerShell, obsługujący enumerację plików, eksfiltrację danych, wykonywanie zrzutów ekranu, kradzież danych z przeglądarek, pozyskiwanie informacji z komunikatorów oraz konfigurację dostępu RDP. PhantomRelayV1 rozwija te możliwości o mechanizmy trwałości, w tym niestandardowy watchdog.

W łańcuchu DroneLink atakujący wykorzystywali strony podszywające się pod fundacje charytatywne wspierające ukraińskie siły zbrojne. Celem było dostarczenie komponentów takich jak WireGuard i LegionRelay, co może wskazywać na próbę zestawienia trwałego kanału komunikacyjnego lub tunelowania ruchu po skutecznej kompromitacji.

Opisano również kampanię Nebo, w której próbka FallSpy imitowała rosyjskojęzyczny ekran logowania. Taki zabieg mógł służyć dezorientacji ofiar i budowaniu wrażenia pracy w wiarygodnym środowisku.

Najciekawszym aspektem technicznym pozostaje wykorzystanie AI do wspierania rozwoju operacji. Badacze wskazali, że generatywna sztuczna inteligencja mogła być używana do tworzenia grafik, rozwijania komponentów LegionRelay, przygotowywania loaderów i skryptów obfuskacyjnych, budowy zaplecza infrastrukturalnego oraz opracowywania komend wykorzystywanych po uzyskaniu dostępu. Jednocześnie analiza próbek ujawniła błędy projektowe i ślady niedojrzałości, co pokazuje, że przyspieszenie developmentu nie zawsze oznacza wysoką jakość operacyjną.

Konsekwencje / ryzyko

Działania GREYVIBE zwiększają presję na organizacje funkcjonujące w regionach objętych konfliktem oraz na podmioty współpracujące z administracją, wojskiem i sektorem pomocowym. Zagrożenie nie ogranicza się do utraty poufności danych. Obejmuje także długotrwałe rozpoznanie środowiska, kradzież danych uwierzytelniających, przejęcie komunikacji oraz wykorzystanie legalnych kanałów zdalnego dostępu do dalszej penetracji infrastruktury.

Szczególnie niebezpieczne jest łączenie wielu wektorów dostępu: phishingu, stron-wabików, infekcji mobilnych oraz komponentów PowerShell wdrażanych na stacjach roboczych. Taka wielowarstwowość zwiększa odporność kampanii na punktowe działania obronne i utrudnia pełne odtworzenie przebiegu incydentu.

Dodatkowym wyzwaniem jest rozwój malware wspomagany przez AI. Jeżeli aktor potrafi szybko przebudowywać loadery, skrypty i infrastrukturę, tradycyjne metody detekcji oparte na stałych sygnaturach mogą okazać się niewystarczające. Dla zespołów SOC oznacza to konieczność większego oparcia się na analizie zachowań, korelacji telemetrii i wykrywaniu anomalii.

Rekomendacje

Organizacje narażone na podobne kampanie powinny w pierwszej kolejności wzmocnić ochronę poczty i komunikacji użytkowników. W praktyce oznacza to rygorystyczne filtrowanie załączników i archiwów, sandboxing wiadomości oraz wdrożenie mechanizmów wykrywania phishingu ukierunkowanego.

W środowiskach Windows warto ograniczyć wykonywanie nieautoryzowanych skryptów PowerShell, monitorować uruchamianie interpreterów skryptowych oraz wykrywać nietypowe sekwencje poleceń kopiowanych przez użytkownika do okien dialogowych i terminali. Szkolenia z zakresu awareness powinny obejmować nie tylko klasyczne wiadomości phishingowe, ale także scenariusze fałszywych stron CAPTCHA i technik ClickFix.

Niezbędne jest również monitorowanie anomalii związanych z RDP, tworzeniem tuneli sieciowych, wykorzystaniem narzędzi zdalnego dostępu oraz próbami eksfiltracji danych z przeglądarek i komunikatorów. W przypadku urządzeń mobilnych należy egzekwować polityki MDM, ograniczać instalację aplikacji spoza zaufanych źródeł i analizować uprawnienia aplikacji pod kątem dostępu do wiadomości, mikrofonu, aparatu i pamięci urządzenia.

  • Budować reguły behawioralne dla uruchomień JavaScript z archiwów pobranych z internetu.
  • Monitorować nietypową aktywność PowerShell po otwarciu dokumentów lub stron phishingowych.
  • Wykrywać połączenia WebRTC inicjowane przez mało znane domeny.
  • Analizować nagłe tworzenie zdalnych kanałów administracyjnych i tuneli.
  • Łączyć telemetrię z hostów, poczty, proxy, EDR i urządzeń mobilnych.

Podsumowanie

GREYVIBE pokazuje, że współczesne operacje cyberwywiadowcze coraz częściej łączą klasyczne techniki infekcji z szybkim rozwojem komponentów wspomaganym przez sztuczną inteligencję. Grupa atakuje cele związane z Ukrainą, wykorzystuje zróżnicowane łańcuchy dostępu i działa na styku cyberprzestępczości oraz aktywności powiązanej z interesami państwowymi.

Dla obrońców najważniejszy wniosek jest praktyczny: sama znajomość nazw malware nie wystarcza. Skuteczna obrona wymaga monitorowania zachowań, ograniczania możliwości wykonywania skryptów, wzmacniania bezpieczeństwa urządzeń mobilnych oraz ciągłego dostosowywania detekcji do kampanii, które mogą dynamicznie zmieniać swoje artefakty techniczne dzięki użyciu AI.

Źródła

Szefowa GCHQ alarmuje: AI radykalnie zmienia krajobraz cyberzagrożeń

Cybersecurity news

Wprowadzenie do problemu / definicja

Sztuczna inteligencja coraz silniej wpływa na cyberbezpieczeństwo, zmieniając zarówno metody prowadzenia ataków, jak i sposoby budowania obrony. Według najnowszych ostrzeżeń kierownictwa brytyjskiego GCHQ AI przestaje być wyłącznie narzędziem wspierającym analitykę, a staje się strategicznym czynnikiem wpływającym na równowagę sił w cyberprzestrzeni. Dla organizacji publicznych i prywatnych oznacza to konieczność traktowania bezpieczeństwa cyfrowego jako elementu odporności państwa, infrastruktury krytycznej i łańcuchów dostaw.

W skrócie

Anne Keast-Butler, dyrektor GCHQ, ostrzegła, że AI przyspiesza transformację środowiska zagrożeń cybernetycznych i ogranicza czas, w którym państwa zachodnie mogą utrzymać przewagę technologiczną. Brytyjskie służby wskazują, że przeciwnicy łączą operacje cybernetyczne z sabotażem, kampaniami wpływu i innymi działaniami hybrydowymi prowadzonymi poniżej progu otwartego konfliktu.

Równocześnie Wielka Brytania rozwija koncepcję narodowej tarczy cybernetycznej, która ma wykorzystywać rozwiązania agentowe AI do ochrony infrastruktury krytycznej i organizacji o kluczowym znaczeniu strategicznym.

Kontekst / historia

Wypowiedzi szefowej GCHQ wpisują się w szerszy trend ostrzeżeń płynących z zachodnich instytucji bezpieczeństwa. Od kilku lat rośnie liczba sygnałów dotyczących aktywności grup sponsorowanych przez państwa, zwłaszcza w kontekście Rosji, Chin i Iranu. Coraz częściej uwaga koncentruje się nie tylko na samych włamaniach, ale również na działaniach destabilizujących infrastrukturę, procesy demokratyczne, zaufanie społeczne i globalne łańcuchy dostaw.

Nowym elementem jest jednak tempo rozwoju AI. Wcześniej uczenie maszynowe służyło głównie do wykrywania anomalii i wspierania analizy zdarzeń. Obecnie coraz większą rolę odgrywają modele generatywne i systemy agentowe, które mogą wspierać rekonesans, przygotowanie kampanii phishingowych, analizę podatności, automatyzację odpowiedzi i tworzenie treści wykorzystywanych w operacjach wpływu.

Analiza techniczna

Z technicznego punktu widzenia kluczowy problem polega na tym, że AI obniża koszt i skraca czas realizacji wielu etapów cyberoperacji. Modele generatywne mogą pomagać w tworzeniu bardziej wiarygodnych wiadomości socjotechnicznych, dopasowanych językowo do konkretnych odbiorców. W połączeniu z danymi z wycieków, OSINT-em i automatyzacją kampanii zwiększa to skuteczność phishingu, oszustw BEC oraz zautomatyzowanych operacji wpływu.

Drugim ważnym obszarem jest automatyzacja rekonesansu i priorytetyzacji celów. Systemy agentowe mogą analizować rozproszone źródła danych, wykrywać ekspozycje usług, mapować zależności infrastrukturalne i wskazywać potencjalne ścieżki ataku. Nie oznacza to pełnej autonomii ofensywnej w każdym scenariuszu, ale znacząco skraca czas przejścia od rozpoznania do przygotowania operacji.

Po stronie obronnej ten sam mechanizm może działać na korzyść obrońców. Koncepcja narodowej tarczy cybernetycznej zakłada wykrywanie zagrożeń z prędkością maszynową, czyli szybciej niż pozwalają na to tradycyjne procesy SOC. W praktyce może to obejmować:

  • korelację telemetrii między operatorami infrastruktury krytycznej,
  • wykrywanie kampanii na poziomie krajowym,
  • automatyczne tworzenie reguł detekcji,
  • częściową orkiestrację odpowiedzi na incydenty.

Warunkiem skuteczności pozostaje jednak wysoka jakość danych wejściowych, odporność modeli na manipulację oraz ograniczenie liczby fałszywych alarmów w środowiskach produkcyjnych.

Konsekwencje / ryzyko

Dla organizacji najważniejszą konsekwencją jest skrócenie dostępnego czasu reakcji. Jeśli przeciwnicy wykorzystują AI do skalowania rekonesansu, personalizacji przynęt i automatyzacji działań po uzyskaniu dostępu, klasyczne modele bezpieczeństwa oparte głównie na analizie ręcznej stają się niewystarczające. Rosną więc wymagania dotyczące widoczności zasobów, jakości telemetrii oraz automatyzacji detekcji i response.

Szczególnie narażone pozostają sektory energetyczny, telekomunikacyjny, transportowy, finansowy oraz administracja publiczna. Ryzyko obejmuje nie tylko przestoje operacyjne, ale również utratę zaufania, skutki regulacyjne, zaburzenia w łańcuchu dostaw i wykorzystanie incydentów cybernetycznych jako narzędzia presji geopolitycznej.

Nie można też pomijać zagrożeń związanych z wdrażaniem samej AI do obrony. Systemy oparte na modelach mogą być podatne na zatruwanie danych, manipulację wejściem, błędną klasyfikację zdarzeń oraz nadmierne zaufanie operatorów do rekomendacji automatycznych. To oznacza, że AI powinna wzmacniać procesy bezpieczeństwa, a nie całkowicie je zastępować.

Rekomendacje

Organizacje powinny założyć, że kampanie wspierane przez AI będą częstsze, szybsze i bardziej przekonujące. W praktyce oznacza to konieczność wzmocnienia kontroli nad tożsamością, uprzywilejowanym dostępem oraz zewnętrzną powierzchnią ataku.

  • wdrożenie MFA odpornego na phishing,
  • segmentacja sieci i zasada least privilege,
  • ciągła inwentaryzacja usług dostępnych z internetu,
  • rozwój detekcji w obszarze poczty, endpointów, tożsamości, sieci i chmury,
  • automatyczna korelacja zdarzeń i playbooki reakcji,
  • testowanie planów ciągłości działania i scenariuszy hybrydowych,
  • nadzór człowieka nad wdrożeniami AI w SOC i analityce bezpieczeństwa.

W sektorach krytycznych szczególnego znaczenia nabiera również monitorowanie zależności między systemami IT, OT i dostawcami zewnętrznymi. Równolegle warto wdrażać zasady bezpiecznego korzystania z modeli AI, kontrolę dostępu do narzędzi generatywnych oraz klasyfikację danych wprowadzanych do takich systemów.

Podsumowanie

Ostrzeżenie GCHQ potwierdza, że sztuczna inteligencja staje się jednym z najważniejszych czynników redefiniujących cyberbezpieczeństwo na poziomie operacyjnym i strategicznym. AI zwiększa tempo działania zarówno obrońców, jak i atakujących, ale sama technologia nie zagwarantuje przewagi. Decydujące pozostaną jakość danych, zdolność automatyzacji, dojrzałość procesów oraz odporność organizacyjna. Dla firm i instytucji to wyraźny sygnał, że podniesienie priorytetu cyberbezpieczeństwa nie może już zostać odłożone.

Źródła

  1. https://www.infosecurity-magazine.com/news/gchq-keast-butler-cyber-action-ai/
  2. https://apnews.com/article/d454c58bff93e60189c8816ccf3d41da
  3. https://www.computerweekly.com/news/366643734/National-cyber-shield-could-be-ready-in-five-years
  4. https://cyberscoop.com/gchq-warns-ai-cyber-warfare-threats/
  5. https://www.computing.co.uk/news/2026/ai/gchq-unveils-plans-for-ai-cyber-shield

Silent Ransom Group atakuje kancelarie prawne: wymuszenia bez szyfrowania i rosnące znaczenie dostępu fizycznego

Cybersecurity news

Wprowadzenie do problemu / definicja

Silent Ransom Group to cyberprzestępcza grupa specjalizująca się w wymuszeniach opartych przede wszystkim na kradzieży danych, a nie na klasycznym szyfrowaniu systemów ofiary. W najnowszych kampaniach operatorzy koncentrują się na kancelariach prawnych, wykorzystując socjotechnikę, podszywanie się pod pracowników wsparcia IT oraz w wybranych przypadkach także próbę uzyskania fizycznego dostępu do urządzeń.

To istotna zmiana w krajobrazie zagrożeń. Atakujący nie muszą dziś blokować działania infrastruktury, aby wywrzeć silną presję na organizacji. Wystarczy przejąć wrażliwe informacje i zagrozić ich ujawnieniem, sprzedażą lub wykorzystaniem w dalszych działaniach wymuszeniowych.

W skrócie

Grupa znana również jako Luna Moth, Chatty Spider i UNC3753 prowadzi kampanie wymierzone w podmioty przetwarzające dane o wysokiej wartości biznesowej i reputacyjnej. W przypadku kancelarii prawnych kluczowym celem są dokumenty objęte tajemnicą zawodową, materiały procesowe, dane klientów oraz informacje dotyczące transakcji i sporów.

  • atak rozpoczyna się zwykle od telefonu lub wiadomości e-mail podszywającej się pod wsparcie techniczne,
  • celem jest nakłonienie ofiary do uruchomienia sesji zdalnej lub wykonania określonych czynności,
  • po uzyskaniu dostępu napastnicy koncentrują się na szybkiej eksfiltracji danych,
  • w części przypadków pojawia się także element fizycznego dostępu do komputera ofiary.

Kontekst / historia

Silent Ransom Group jest obserwowana od kilku lat i wcześniej była łączona z kampaniami uderzającymi w różne branże, w tym sektor finansowy, ubezpieczeniowy i ochronę zdrowia. Model działania tej grupy ewoluował od szerzej zakrojonych oszustw socjotechnicznych do bardziej precyzyjnych operacji ukierunkowanych na konkretne organizacje i konkretne typy danych.

Kancelarie prawne są szczególnie atrakcyjnym celem. Przechowują duże wolumeny informacji poufnych, a jednocześnie działają pod presją terminów, zobowiązań kontraktowych oraz wymogów zachowania tajemnicy zawodowej. Dla przestępców oznacza to większą szansę na skuteczne wymuszenie i szybszą reakcję ofiary na groźbę publikacji danych.

Analiza techniczna

Techniczny rdzeń kampanii nie opiera się na zaawansowanych exploitach, lecz na skutecznym obchodzeniu procedur bezpieczeństwa przy użyciu manipulacji użytkownikiem. Atakujący podają się za personel IT i próbują przekonać pracownika do uruchomienia narzędzia zdalnego dostępu, wykonania określonej konfiguracji albo zaakceptowania rzekomej czynności serwisowej.

Po przejęciu dostępu działania są ograniczane do minimum niezbędnego do rozpoznania zasobów i kopiowania danych. Zamiast wdrażać malware o wysokiej wykrywalności, sprawcy chętnie sięgają po legalne narzędzia administracyjne i aplikacje używane do transferu plików. W opisywanych kampaniach wskazywano m.in. WinSCP oraz ukryte lub zmodyfikowane instancje Rclone, które umożliwiają przesyłanie danych do usług chmurowych i zewnętrznych repozytoriów.

Najbardziej niepokojącym elementem jest scenariusz, w którym sprawca lub współpracownik grupy pojawia się fizycznie w lokalizacji ofiary. Pod pretekstem kopii zapasowej, działań serwisowych albo reakcji na incydent phishingowy może próbować uzyskać dostęp do stacji roboczej i podłączyć nośnik zewnętrzny w celu lokalnego skopiowania danych. Taka technika ogranicza widoczność ruchu sieciowego i może utrudnić detekcję przez standardowe mechanizmy bezpieczeństwa.

Model ten wpisuje się w trend data theft extortion, czyli wymuszeń opartych na eksfiltracji danych bez etapu szyfrowania. Z perspektywy obrony to poważne wyzwanie, ponieważ brak masowego szyfrowania plików oznacza mniej oczywistych objawów incydentu, a użycie legalnych narzędzi utrudnia wykrywanie oparte wyłącznie na sygnaturach złośliwego oprogramowania.

Konsekwencje / ryzyko

Dla kancelarii prawnych skutki takiego ataku mogą być wyjątkowo dotkliwe. Najpoważniejsze ryzyka obejmują utratę poufności danych klientów, naruszenie tajemnicy zawodowej, ujawnienie strategii procesowych, ekspozycję dokumentów korporacyjnych oraz potencjalne konsekwencje regulacyjne związane z ochroną danych osobowych.

Istotne jest również ryzyko operacyjne i reputacyjne. Nawet jeśli infrastruktura nie zostanie zaszyfrowana, sama groźba upublicznienia dokumentów może sparaliżować pracę organizacji, wpłynąć na relacje z klientami i uruchomić kosztowne procedury kryzysowe. Dodatkowo telefoniczne naciski na pracowników lub klientów po eksfiltracji danych mogą zwiększać presję psychologiczną i eskalować skalę zdarzenia.

  • utrata kontroli nad dokumentacją objętą tajemnicą zawodową,
  • ryzyko naruszeń regulacyjnych i obowiązków notyfikacyjnych,
  • poważne straty reputacyjne i utrata zaufania klientów,
  • trudniejsza detekcja incydentu ze względu na brak klasycznego szyfrowania,
  • połączenie zagrożenia cybernetycznego i fizycznego.

Rekomendacje

Organizacje z sektora prawnego powinny traktować ten typ kampanii jako połączenie ryzyka cyfrowego, proceduralnego i fizycznego. Kluczowe znaczenie ma rygorystyczna weryfikacja tożsamości każdej osoby podającej się za pracownika IT, niezależnie od tego, czy kontakt odbywa się telefonicznie, mailowo czy osobiście.

W praktyce warto wdrożyć zestaw środków ograniczających zarówno możliwość przejęcia dostępu, jak i skutecznej eksfiltracji danych:

  • stosowanie phishing-resistant MFA wszędzie tam, gdzie to możliwe,
  • ograniczenie i ścisłą kontrolę narzędzi zdalnego wsparcia,
  • blokowanie lub silne ograniczanie użycia nośników USB na stacjach z dostępem do danych wrażliwych,
  • monitorowanie uruchomień narzędzi takich jak Rclone, WinSCP i podobnych aplikacji transferowych,
  • wykrywanie połączeń do niezaufanych usług przechowywania danych i nietypowych kanałów eksfiltracji,
  • szkolenia personelu z rozpoznawania scenariuszy podszywania się pod helpdesk,
  • integrację procedur SOC z ochroną fizyczną, recepcją i personelem administracyjnym,
  • przygotowanie playbooków reagowania na incydenty bez szyfrowania, skoncentrowanych na kradzieży danych.

Dodatkowo warto regularnie analizować logi endpointów, systemów IAM i narzędzi EDR pod kątem nieautoryzowanych sesji zdalnych, nowych instalacji aplikacji administracyjnych oraz prób użycia pamięci masowych. W środowiskach o wysokiej wrażliwości danych uzasadnione jest także wdrożenie rozwiązań DLP oraz segmentacji dostępu do repozytoriów dokumentów.

Podsumowanie

Kampania Silent Ransom Group pokazuje, że współczesne wymuszenia nie wymagają szyfrowania infrastruktury, aby były skuteczne. Kradzież danych, presja reputacyjna i dobrze przygotowana socjotechnika wystarczą, by znacząco zwiększyć ryzyko biznesowe ofiary.

Szczególnie alarmujący jest element fizycznego pojawiania się sprawców w siedzibie organizacji, ponieważ rozszerza on model zagrożenia poza klasyczne granice cyberbezpieczeństwa. Dla kancelarii prawnych oznacza to konieczność spójnego podejścia do ochrony danych, kontroli tożsamości użytkowników, monitoringu eksfiltracji i bezpieczeństwa fizycznego.

Źródła

  • Dark Reading: https://www.darkreading.com/cyberattacks-data-breaches/ransomware-actors-steal-law-firm-data
  • FBI Internet Crime Complaint Center: https://www.ic3.gov/
  • Halcyon Ransomware Research Center: https://www.halcyon.ai/
  • Verizon Data Breach Investigations Report 2026: https://www.verizon.com/business/resources/reports/dbir/

19,6 miliarda plików publicznie dostępnych w chmurze bez uwierzytelnienia. Skala błędnych konfiguracji rośnie

Cybersecurity news

Wprowadzenie do problemu / definicja

Błędna konfiguracja zasobów chmurowych pozostaje jednym z najpoważniejszych i jednocześnie najczęściej bagatelizowanych problemów bezpieczeństwa. Nie chodzi tu o nową podatność typu zero-day ani wyrafinowany atak, lecz o sytuację, w której zasoby przechowywane w chmurze — takie jak buckety obiektowe, backupy czy eksporty baz danych — są udostępnione publicznie bez wymaganego uwierzytelnienia.

Najnowsze ustalenia badaczy pokazują, że skala zjawiska jest ogromna. Miliardy plików przechowywanych w publicznie listowalnych bucketach mogą być przeglądane bez hasła, bez obchodzenia zabezpieczeń i bez konieczności przełamywania jakichkolwiek mechanizmów ochronnych.

W skrócie

Analiza objęła ponad 535 tysięcy publicznie listowalnych bucketów w głównych środowiskach chmurowych. Łącznie oszacowano, że zawierają one około 19,6 miliarda plików dostępnych bez uwierzytelnienia. Wśród nich znalazły się setki tysięcy plików z poświadczeniami, niemal milion eksportów SQL oraz setki tysięcy kopii zapasowych.

  • ponad 535 tys. publicznie listowalnych bucketów,
  • około 19,6 mld plików dostępnych bez logowania,
  • 685 047 plików z poświadczeniami i kluczami,
  • 985 645 plików .sql,
  • 733 040 plików .bak.

Problem nie wynika z luki w samych platformach chmurowych, lecz z niewłaściwej konfiguracji dostępu, błędów operacyjnych oraz nieprawidłowego przechowywania sekretów.

Kontekst / historia

Publiczne ekspozycje bucketów nie są nowym zjawiskiem. Od lat organizacje przypadkowo ujawniają repozytoria obiektowe zawierające dane klientów, pliki aplikacyjne, logi, backupy i dokumentację wewnętrzną. Jednak wraz z rozwojem środowisk cloud-native problem urósł do niespotykanej wcześniej skali.

Nowoczesne środowiska wytwarzają ogromne ilości artefaktów: obrazy, logi, eksporty baz, pliki tymczasowe, archiwa czy konfiguracje. Każdy z tych elementów może zostać zapisany w pamięci obiektowej, a pojedynczy błąd w polityce dostępu wystarczy, by zasób stał się publicznie osiągalny.

Szczególnie niebezpieczne jest to, że wiele organizacji traktuje storage obiektowy jako zaplecze techniczne, które nie podlega tak ścisłej kontroli jak systemy produkcyjne. W efekcie do bucketów trafiają pliki .env, snapshoty środowisk testowych, archiwa baz danych i automatycznie generowane kopie bezpieczeństwa.

Analiza techniczna

Według opublikowanych ustaleń badacze przeanalizowali w marcu 2026 roku metadane bucketów w usługach Amazon S3, Google Cloud, Microsoft Azure, DigitalOcean i Alibaba Cloud. Co istotne, analiza nie wymagała pobierania zawartości plików. Już same nazwy i typy plików pozwoliły zidentyfikować materiały o bardzo wysokiej wrażliwości.

Na szczególną uwagę zasługują pliki z sekretami. Wśród ujawnionych danych znalazły się pliki .env, klucze prywatne oraz bazy haseł. Z perspektywy napastnika są to zasoby o najwyższej wartości, ponieważ umożliwiają przejście od biernej obserwacji do aktywnej kompromitacji środowiska.

Drugą krytyczną kategorią są eksporty i kopie baz danych. Pliki .sql i .bak mogą zawierać pełne zbiory rekordów, pozbawione zabezpieczeń obecnych w aplikacji, takich jak uwierzytelnianie, autoryzacja czy kontrola logiki biznesowej. Oznacza to, że po ich pobraniu możliwa jest szczegółowa analiza danych offline.

Badacze zwrócili również uwagę na nazewnictwo plików. Wiele z nich zawierało frazy takie jak „secret”, „salary”, „kyc” czy „credentials”, a nazwy związane z hasłami, paszportami, fakturami i backupami występowały na masową skalę. To wskazuje, że problem obejmuje nie tylko zasoby techniczne, ale również dane osobowe, dokumenty finansowe i materiały związane z compliance.

Najgroźniejszy jest efekt łańcuchowy. Otwarty bucket może jednocześnie zawierać plik .env z poświadczeniami oraz eksport SQL tej samej aplikacji. To daje napastnikowi możliwość zarówno szybkiego dostępu do środowiska, jak i długoterminowego wykorzystania wykradzionych danych do phishingu, przejęć kont czy oszustw biznesowych.

Konsekwencje / ryzyko

Ryzyko związane z publicznie dostępnymi bucketami jest wielowymiarowe. Organizacja może utracić poufność danych klientów, pracowników i partnerów, a ujawnienie sekretów aplikacyjnych może doprowadzić do wtórnej kompromitacji infrastruktury chmurowej i kont uprzywilejowanych.

  • przejęcie kont i usług dzięki ujawnionym kluczom oraz tokenom,
  • eskalacja uprawnień w środowisku chmurowym,
  • wycieki danych osobowych i regulacyjnych,
  • ataki ransomware poprzedzone rozpoznaniem z użyciem publicznych backupów,
  • oszustwa finansowe i phishing ukierunkowany,
  • sankcje regulacyjne oraz wysokie koszty obsługi incydentu.

Wysoki poziom zagrożenia wynika z faktu, że mamy do czynienia z ekspozycją pasywną. Napastnik nie musi stosować exploita ani złośliwego oprogramowania. Jeśli zasób jest publicznie listowalny, może zostać odnaleziony, zautomatyzowanie przeskanowany i masowo wykorzystany.

Rekomendacje

Organizacje powinny traktować błędną konfigurację storage’u jako problem architektoniczny, a nie pojedynczą pomyłkę administratora. Skuteczna obrona wymaga połączenia polityk organizacyjnych, automatyzacji i ciągłego monitoringu.

  • wymuszenie domyślnej prywatności wszystkich bucketów i blokady publicznego listowania,
  • zakaz przechowywania sekretów w pamięci obiektowej bez odpowiedniego szyfrowania i ścisłej kontroli dostępu,
  • automatyczne skanowanie bucketów pod kątem plików .env, kluczy prywatnych, dumpów SQL i backupów,
  • regularny audyt uprawnień IAM, ACL i polityk bucketów,
  • szyfrowanie kopii zapasowych oraz ich separacja od zasobów publicznie osiągalnych,
  • wdrożenie mechanizmów CSPM do ciągłego wykrywania błędnych konfiguracji,
  • przegląd pipeline’ów CI/CD i skryptów automatyzacji pod kątem niekontrolowanego zapisu artefaktów,
  • rotacja wszystkich poświadczeń, które mogły zostać ujawnione, nawet przy braku potwierdzonego nadużycia,
  • ograniczenie retencji danych i minimalizacja zbieranych informacji,
  • wymuszenie MFA dla kont administracyjnych i usług krytycznych.

Z perspektywy użytkownika końcowego podstawą pozostaje stosowanie unikalnych haseł dla każdej usługi oraz aktywacja uwierzytelniania wieloskładnikowego. Nawet jeśli dane zostaną ujawnione przez dostawcę lub partnera, ogranicza to ryzyko dalszego nadużycia poświadczeń.

Podsumowanie

Ekspozycja 19,6 miliarda plików w publicznie dostępnych bucketach pokazuje, że jednym z największych zagrożeń dla bezpieczeństwa chmury nadal nie są wyłącznie nowe podatności, lecz dobrze znane błędy konfiguracyjne. Problem obejmuje nie tylko dane archiwalne, ale również aktywne sekrety, backupy i eksporty baz danych, które mogą prowadzić do pełnej kompromitacji organizacji.

W środowiskach wielochmurowych i silnie zautomatyzowanych kontrola nad storage’em musi być ciągła, centralnie egzekwowana i wspierana politykami bezpieczeństwa. W przeciwnym razie pojedyncza błędna flaga dostępu może zamienić zwykły bucket w gotowy zestaw narzędzi dla atakującego.

Źródła

  • Security Affairs – 19.6 Billion Files Are Sitting Open on the Internet. No Password Required — https://securityaffairs.com/192787/security/19-6-billion-files-are-sitting-open-on-the-internet-no-password-required.html
  • Mysterium VPN Report – 19.6 billion files exposed across publicly listable cloud buckets — https://www.mysteriumvpn.com/blog/19-6-billion-files-open-on-the-internet
  • Amazon Web Services – Blocking public access to Amazon S3 storage — https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html
  • Google Cloud – IAM and access control for Cloud Storage — https://cloud.google.com/storage/docs/access-control
  • Microsoft Learn – Secure access to Azure Storage — https://learn.microsoft.com/azure/storage/common/security-recommendations