Archiwa: Ransomware - Strona 10 z 117

Kampanie ClickFix rozszerzają dystrybucję malware o nowe loadery i fałszywe aktualizacje

Wprowadzenie do problemu / definicja

ClickFix to technika socjotechniczna, w której atakujący nakłania ofiarę do samodzielnego uruchomienia złośliwego polecenia. Najczęściej odbywa się to poprzez komunikaty podszywające się pod aktualizację przeglądarki, weryfikację bezpieczeństwa lub rzekome działanie naprawcze. Z punktu widzenia obrony jest to szczególnie groźne, ponieważ użytkownik sam inicjuje wykonanie komendy, a dalszy łańcuch infekcji może być wieloetapowy, modularny i trudny do wykrycia klasycznymi metodami.

Najbardziej niepokojący trend polega na tym, że ClickFix przestaje być prostą sztuczką manipulacyjną, a staje się dojrzałym wektorem początkowego dostępu dla złożonych operacji malware. W najnowszych kampaniach technika ta została połączona z nowymi loaderami, fałszywymi aktualizacjami oraz mechanizmami ukrywania payloadów w pamięci.

W skrócie

Badacze bezpieczeństwa opisali kilka równoległych kampanii ClickFix, które służą do dostarczania nowych loaderów malware, takich jak BabaDeda Loader, Lorem Ipsum Loader oraz Potemkin. W analizowanych scenariuszach napastnicy wykorzystywali fałszywe aktualizacje przeglądarki, przejęte strony WordPress, archiwa ZIP, pliki HTA, DLL side-loading oraz polecenia PowerShell uruchamiane przez samą ofiarę.

ClickFix służy jako etap początkowego dostępu.
Nowe loadery oddzielają dostarczenie, wykonanie i komunikację z C2.
Końcowe payloady obejmują infostealery, backdoory, RAT-y i narzędzia do ruchu bocznego.
W części incydentów końcowym celem może być wdrożenie ransomware.

Kontekst / historia

Choć ClickFix nie jest nową techniką, w 2026 roku wyraźnie wzrosła jej popularność wśród różnych grup przestępczych. Jej skuteczność wynika z prostoty i wiarygodności. Użytkownik widzi komunikat sugerujący, że aby rozwiązać problem, musi nacisnąć Win+R, wkleić polecenie i je uruchomić. Taki schemat omija część tradycyjnych mechanizmów ochronnych, które koncentrują się głównie na blokowaniu plików, reputacji binariów lub znanych sygnaturach.

W obserwowanych operacjach widać też zmianę taktyki po stronie atakujących. Część grup wcześniej korzystała z innych modeli dostarczania malware, takich jak spreparowane instalatory, portale pobierania wspierane przez SEO poisoning czy malvertising. Przejście na ClickFix pokazuje, że cyberprzestępcy szybko adaptują TTP i wybierają metody mniej zależne od klasycznych instalatorów czy podpisanego kodu.

Analiza techniczna

Pierwszy łańcuch dotyczy BabaDeda Loader. Atak rozpoczyna się od scenariusza ClickFix, w którym ofiara uruchamia spreparowane polecenie PowerShell. Następnie loader pobiera kolejne komponenty, wykorzystując ukryty PowerShell, wykonanie shellcode w pamięci, DLL side-loading oraz przechowywanie payloadów w zewnętrznych kontenerach danych. Malware profiluje hosta, sprawdza środowisko bezpieczeństwa i unika uruchamiania na systemach powiązanych z Rosją i Białorusią. Końcowy payload może zostać wstrzyknięty do zaufanego procesu systemowego, takiego jak svchost.exe, co utrudnia wykrycie.

W tym scenariuszu obserwowano również komponenty odpowiedzialne za zbieranie szczegółowych informacji o systemie, enumerację profili przeglądarek oraz kradzież cookies, historii przeglądania, zapisanych poświadczeń i materiałów szyfrujących lokalny stan przeglądarki. Malware potrafi także przeszukiwać katalogi według określonych reguł, odczytywać i eksfiltrować pliki, wykonywać polecenia powłoki, przechwytywać zrzuty ekranu oraz komunikować się z serwerem C2 za pośrednictwem zaszyfrowanego kanału.

Drugi scenariusz obejmuje Lorem Ipsum Loader. Punktem wejścia były przejęte witryny WordPress z różnych branż, które prezentowały przynęty ClickFix podszywające się pod aktualizację zabezpieczeń przeglądarki Edge. Po wykonaniu komendy przez ofiarę pobierane były archiwum ZIP oraz starsza wersja Node.js, używana do uruchamiania złośliwych payloadów JavaScript i obniżania wykrywalności. Następnie dropper wdrażał kolejne komponenty, w tym skrypt batch odpowiadający za utrwalenie infekcji oraz łańcuch DLL side-loading uruchamiający złośliwe biblioteki dekodujące osadzony loader.

Lorem Ipsum Loader pełni rolę etapu pośredniego i służy do pobierania dalszego backdoora z infrastruktury C2, której adresy są pozyskiwane z profili kontrolowanych przez atakujących w mediach społecznościowych. To istotny element operacyjny, ponieważ wykorzystanie publicznych platform jako pośredniego repozytorium konfiguracji utrudnia blokowanie infrastruktury i zwiększa jej odporność. Według badaczy taki łańcuch ma wspierać dalsze działania post-exploitation, a docelowo także wdrożenia ransomware, w szczególności Rhysida.

Trzecia kampania wykorzystuje loader Potemkin. W tym przypadku infekcja rozpoczyna się od pakietu MSI, który dostarcza payload HTA. Ten z kolei wdraża niestandardowy loader x64, korzystający z DGA do odnajdywania infrastruktury C2 oraz z refleksyjnego ładowania modułów bezpośrednio w pamięci. Potemkin oferuje funkcje identyfikacji ofiary, polling zadań, pobieranie bibliotek DLL i ich wykonanie, a także własne mechanizmy ochrony komunikacji oraz słownika używanego przez DGA.

Po uzyskaniu dostępu operatorzy wdrażali dodatkowe narzędzia, w tym EtherRAT oraz RMMProject. Ten drugi komponent umożliwia zdalną kontrolę ekranu, kradzież danych z przeglądarek, wykonywanie dowolnych skryptów Lua, kończenie procesów przeglądarek, wykonywanie zrzutów ekranu oraz dynamiczne pobieranie kolejnych modułów. W obserwowanych incydentach odnotowano również aktywność hands-on-keyboard, obejmującą dodawanie wyjątków w Microsoft Defender, uruchamianie tuneli reverse SOCKS, rekonesans, utrwalanie dostępu oraz ruch boczny z użyciem WMIExec i SMBExec, aż do osiągnięcia kontrolera domeny i propagacji malware na kolejne hosty.

Konsekwencje / ryzyko

Z perspektywy organizacji ryzyko związane z ClickFix jest bardzo wysokie. Po pierwsze, technika ta przenosi część wykonania ataku na użytkownika, co zmniejsza skuteczność ochrony opartej wyłącznie na blokowaniu podejrzanych plików. Po drugie, modularne loadery pozwalają szybko wymieniać końcowe payloady bez przebudowy całego łańcucha dostarczania. Po trzecie, wykorzystanie mechanizmów pamięciozależnych, DGA, side-loadingu i zewnętrznych kontenerów danych ogranicza widoczność telemetryczną i utrudnia analizę incydentu.

Praktyczne skutki takich kampanii mogą obejmować kradzież poświadczeń, przejęcie sesji przeglądarkowych, eksfiltrację dokumentów, trwały zdalny dostęp, ruch boczny w sieci, naruszenie kontrolera domeny oraz końcowe wdrożenie ransomware. Szczególnie groźne jest połączenie infostealera, loadera i backdoora, ponieważ umożliwia zarówno szybkie monetyzowanie skradzionych danych, jak i późniejsze wykorzystanie dostępu do bardziej destrukcyjnych operacji.

Rekomendacje

Podstawowym środkiem obrony pozostaje ograniczenie możliwości uruchamiania niezweryfikowanych poleceń przez użytkowników oraz regularne szkolenia ukierunkowane konkretnie na scenariusze ClickFix. Pracownicy powinni wiedzieć, że legalna aktualizacja przeglądarki, systemu czy narzędzi bezpieczeństwa nie wymaga ręcznego wklejania poleceń do okna Uruchamianie, PowerShell, CMD ani Terminala.

Monitorować uruchomienia PowerShell, mshta.exe, rundll32.exe, regsvr32.exe, node.exe oraz nietypowych instalatorów MSI.
Wykrywać łańcuchy prowadzące do DLL side-loadingu, wstrzyknięć do zaufanych procesów i uruchamiania payloadów z katalogów tymczasowych.
Blokować lub ograniczać wykonywanie HTA, niepodpisanych skryptów oraz interpreterów używanych poza uzasadnionym kontekstem biznesowym.
Stosować EDR z regułami behawioralnymi obejmującymi ukryty PowerShell, in-memory execution, nietypowe użycie Node.js oraz tworzenie trwałości przez skrypty batch i biblioteki DLL.
Monitorować dodawanie wyjątków w Microsoft Defender i inne zmiany w konfiguracji zabezpieczeń.
Analizować ruch sieciowy pod kątem DGA, tuneli, nietypowych domen i niestandardowych wzorców beaconingu.
Wzmacniać ochronę przeglądarek i magazynów poświadczeń, w tym izolację sesji uprzywilejowanych oraz odporne MFA tam, gdzie to możliwe.
Ograniczać ruch boczny poprzez segmentację sieci i kontrolę użycia WMI, SMB oraz zdalnych usług administracyjnych.

Warto również przygotować dedykowany playbook reagowania na incydenty związane z ClickFix. Powinien on obejmować szybkie zabezpieczenie historii poleceń, artefaktów PowerShell, plików ZIP i HTA, danych o procesach potomnych, zmianach w Defenderze, identyfikację hostów dotkniętych tym samym payloadem oraz reset poświadczeń użytkowników, których dane przeglądarkowe lub sesyjne mogły zostać naruszone.

Podsumowanie

Najnowsze kampanie pokazują, że ClickFix ewoluował z prostej sztuczki socjotechnicznej do pełnoprawnego wektora początkowego dostępu dla zaawansowanych, wieloetapowych łańcuchów malware. BabaDeda Loader, Lorem Ipsum Loader i Potemkin reprezentują wspólny trend polegający na rozdzieleniu funkcji dostarczenia, ukrycia payloadu, wykonania i dalszej eksploatacji środowiska.

Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnego wzmacniania świadomości użytkowników, telemetryki endpointów, detekcji behawioralnej oraz procedur reagowania. W środowisku, w którym użytkownik staje się ręcznie uruchamianym etapem infekcji, klasyczne podejście oparte wyłącznie na sygnaturach przestaje być wystarczające.

Źródła

ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures — https://thehackernews.com/2026/06/clickfix-campaigns-expand-malware.html
Morphisec research on BabaDeda Loader — https://www.morphisec.com/
BlueVoyant research on Lorem Ipsum Loader and ClickFix activity — https://www.bluevoyant.com/
Huntress research on Potemkin, EtherRAT, and RMMProject — https://www.huntress.com/
Apple Support documentation on Terminal paste warnings in macOS — https://support.apple.com/

DragonForce ukrywa ruch C2 w infrastrukturze Microsoft Teams Relay

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej wykorzystują legalne usługi chmurowe do maskowania komunikacji z serwerami dowodzenia i kontroli. W najnowszym przypadku grupa ransomware DragonForce ukrywała ruch C2 w infrastrukturze relay powiązanej z Microsoft Teams, przez co złośliwa aktywność mogła przypominać zwykły ruch biznesowy do zaufanej platformy.

To ważny sygnał dla zespołów bezpieczeństwa, ponieważ klasyczne podejście oparte na reputacji domen, adresów IP i listach usług dozwolonych staje się coraz mniej skuteczne. Jeśli malware tuneluje komunikację przez powszechnie wykorzystywane środowisko SaaS, wykrycie incydentu wymaga znacznie głębszej korelacji danych z sieci, endpointów i tożsamości.

W skrócie

DragonForce wykorzystał malware Backdoor.Turn do ukrywania komunikacji C2 w infrastrukturze TURN używanej przez Microsoft Teams.
Atakujący pozyskiwali anonimowy token gościa i zestawiali połączenie przez legalny relay, aby ruch wyglądał jak zaufana komunikacja.
Kampania została powiązana z atakiem na dużą firmę usługową w USA.
W łańcuchu ataku użyto także DLL sideloading, technik BYOVD, eskalacji uprawnień i finalnego wdrożenia ransomware po eksfiltracji danych.

Kontekst / historia

DragonForce jest znaną operacją ransomware aktywną co najmniej od 2023 roku. Grupa była wcześniej opisywana jako podmiot działający w modelu zbliżonym do kartelu, korzystający z rozproszonego zaplecza przestępczego i elastycznych metod prowadzenia ataków.

W analizowanym incydencie szczególną uwagę zwrócił nie tylko sam etap szyfrowania danych, ale przede wszystkim sposób utrzymywania ukrytej komunikacji po uzyskaniu dostępu do środowiska ofiary. To właśnie wykorzystanie infrastruktury Microsoft Teams Relay pokazuje, że techniki znane dotąd z analiz badawczych zaczynają być stosowane w realnych operacjach ransomware.

Znaczenie tego przypadku wzmacnia wcześniejsze zainteresowanie badaczy możliwością nadużywania usług konferencyjnych i mechanizmów TURN do tworzenia ukrytych tuneli komunikacyjnych. Obecnie widać już wyraźne przejście od koncepcji teoretycznej do praktycznego użycia w atakach wymierzonych w przedsiębiorstwa.

Analiza techniczna

Centralnym elementem kampanii było złośliwe oprogramowanie Backdoor.Turn, opisane jako trojan zdalnego dostępu napisany w języku Go. Malware wykorzystywał protokół TURN, czyli mechanizm pośredniczący w komunikacji sieciowej w sytuacji, gdy bezpośrednie połączenie między stronami jest utrudnione, na przykład przez translację adresów lub ograniczenia sieciowe.

Schemat działania polegał na uzyskaniu anonimowego tokenu gościa Microsoft Teams, a następnie na zainicjowaniu komunikacji przez legalny serwer relay. W praktyce pozwalało to tunelować ruch C2 tak, aby z perspektywy monitoringu przypominał standardowe połączenia związane z usługą Teams. To znacząco utrudnia wykrywanie oparte wyłącznie na analizie miejsca docelowego ruchu.

Według opisu incydentu atak rozpoczął się prawdopodobnie od wykorzystania nieznanej podatności w serwerze SQL lub MSSQL. Po uzyskaniu dostępu napastnicy pobrali archiwum ZIP zawierające legalny plik wykonywalny, taki jak VirtualBox lub DbgView, oraz złośliwą bibliotekę DLL przeznaczoną do sideloadingu. Taki mechanizm pozwala uruchomić szkodliwy kod w kontekście zaufanego procesu i utrudnia analizę operacyjną.

Kolejny etap obejmował utrwalanie dostępu i osłabianie zabezpieczeń. Atakujący tworzyli nieautoryzowane konta użytkowników, modyfikowali polityki bezpieczeństwa Windows, zmieniali ustawienia zapory oraz przygotowywali środowisko do dalszych działań. Następnie zastosowali technikę Bring Your Own Vulnerable Driver, wykorzystując podatne sterowniki do uzyskania uprawnień jądra i wyłączania narzędzi ochronnych.

W analizie wskazano użycie kilku podatnych lub nadużywanych sterowników, a także złośliwego sterownika ABYSSWORKER podszywającego się pod legalny komponent. To istotny element łańcucha ataku, ponieważ BYOVD pozwala omijać ochronę endpointów jeszcze przed wdrożeniem właściwego ładunku ransomware.

Sam Backdoor.Turn został wstrzyknięty do procesu DbgView64.exe po wdrożeniu ransomware, co sugeruje funkcję utrzymania dostępu, dalszego rozpoznania lub przygotowania kolejnych operacji. Możliwości backdoora obejmowały wykonywanie poleceń, uruchamianie procesów, skanowanie sieci, przeszukiwanie LDAP i Active Directory, przechwytywanie certyfikatów TLS, zbieranie tytułów stron WWW oraz kradzież poświadczeń z przeglądarek.

Konsekwencje / ryzyko

Najpoważniejsze ryzyko wynika z nadużycia zaufanej infrastruktury komunikacyjnej do ukrywania złośliwego ruchu. W wielu organizacjach Microsoft Teams i podobne usługi są szeroko dopuszczane przez firewalle, serwery proxy oraz polityki dostępu. To sprawia, że część złośliwej aktywności może nie wzbudzić alarmu, jeśli analiza opiera się głównie na prostym allowlistingu.

Z perspektywy operacyjnej taki model komunikacji obniża skuteczność klasycznych detekcji C2. Ruch nie musi prowadzić do domen o złej reputacji ani do nietypowych lokalizacji geograficznych, a jego charakter może przypominać codzienne wykorzystanie legalnej platformy komunikacyjnej. W rezultacie rośnie poziom szumu, a próg wykrycia rzeczywistego incydentu wyraźnie spada.

Dodatkowo połączenie tej techniki z DLL sideloading, BYOVD, eksfiltracją danych i wdrożeniem ransomware znacząco zwiększa skalę zagrożenia. Ofiara może mieć do czynienia jednocześnie z długotrwałą obecnością napastnika w środowisku, pogłębionym rozpoznaniem infrastruktury, kradzieżą danych i destrukcyjnym etapem szyfrowania systemów.

Rekomendacje

Organizacje powinny odejść od założenia, że ruch do zaufanych platform SaaS jest z definicji bezpieczny. W praktyce oznacza to konieczność analizy behawioralnej połączeń, uwzględniającej proces inicjujący ruch, kontekst użytkownika, czas aktywności oraz korelację z telemetrią bezpieczeństwa.

Monitorować połączenia do usług komunikacyjnych pod kątem nietypowych procesów i niestandardowych wzorców ruchu.
Wdrażać detekcję DLL sideloading oraz uruchamiania legalnych binariów z nietypowych lokalizacji.
Ograniczać ładowanie sterowników poprzez listy dozwolonych, HVCI i Windows Defender Application Control.
Aktywnie wykrywać techniki BYOVD poprzez monitoring instalacji i uruchamiania podatnych sterowników.
Wzmocnić ochronę serwerów SQL i MSSQL, które często pełnią rolę punktu wejścia.
Regularnie audytować nowe konta użytkowników, zmiany polityk systemowych i lokalne uprawnienia administracyjne.
Analizować ruch związany z Teams pod kątem anomalii wolumenowych, czasowych i procesowych.
Rozszerzyć reguły SIEM, EDR i NDR o wskaźniki kompromitacji oraz scenariusze threat hunting związane z nadużyciem infrastruktury konferencyjnej.

Zespoły reagowania na incydenty powinny również uwzględnić w playbookach możliwość wykorzystywania legalnych usług konferencyjnych jako kanału C2. Taki scenariusz wymaga innych metod triage niż klasyczne infekcje komunikujące się z oczywiście podejrzaną infrastrukturą.

Podsumowanie

Przypadek DragonForce pokazuje wyraźną ewolucję ataków ransomware w kierunku bardziej dyskretnych i trudniejszych do wykrycia technik operacyjnych. Wykorzystanie relay TURN powiązanego z Microsoft Teams nie jest jedynie ciekawostką techniczną, lecz praktycznym sposobem obchodzenia zaufania, jakim organizacje obdarzają popularne usługi chmurowe.

Połączenie tej metody z sideloadingiem DLL, nadużyciem podatnych sterowników, eskalacją uprawnień i eksfiltracją danych tworzy dojrzały łańcuch ataku zdolny do omijania wielu standardowych mechanizmów ochronnych. Dla obrońców oznacza to konieczność głębszej analizy legalnego ruchu SaaS, twardszej kontroli sterowników oraz lepszej korelacji sygnałów z warstwy endpoint, sieci i tożsamości.

Źródła

iRhythm ujawnia naruszenie danych pacjentów po ataku socjotechnicznym

Wprowadzenie do problemu / definicja

iRhythm Holdings poinformował o incydencie bezpieczeństwa, w ramach którego osoby atakujące uzyskały dostęp do danych osobowych oraz informacji zdrowotnych pacjentów przechowywanych w aplikacjach biznesowych hostowanych przez podmiot trzeci. To kolejny przykład naruszenia, w którym kluczowym elementem nie jest sabotowanie infrastruktury, lecz kradzież danych i wywarcie presji na ofiarę poprzez groźbę ich ujawnienia.

Sprawa wpisuje się w utrzymujący się trend ataków opartych na eksfiltracji danych i wymuszeniu okupu, szczególnie widoczny w sektorze ochrony zdrowia. Dane medyczne należą do najbardziej wrażliwych kategorii informacji, dlatego ich utrata generuje zarówno wysokie ryzyko operacyjne, jak i konsekwencje prawne oraz reputacyjne.

W skrócie

Incydent został ujawniony w czerwcu 2026 roku po tym, jak cyberprzestępcy skontaktowali się z firmą i zażądali okupu w zamian za nieujawnianie skradzionych danych. Spółka potwierdziła, że doszło do wycieku informacji z wybranych aplikacji biznesowych.

atak miał być oparty na socjotechnice,
naruszenie objęło dane osobowe, informacje zdrowotne oraz dane o charakterze własnościowym,
firma wskazała, że incydent nie dotknął systemów klinicznych ani urządzeń medycznych,
nie odnotowano wpływu na bezpieczeństwo pacjentów, produkcję, dystrybucję ani sprawozdawczość finansową,
organizacja uruchomiła procedury reagowania i zaangażowała zewnętrznych ekspertów.

Kontekst / historia

iRhythm działa w obszarze cyfrowej kardiologii i monitorowania pracy serca, a więc przetwarza duże wolumeny danych medycznych i operacyjnych. Takie organizacje od lat pozostają atrakcyjnym celem dla grup specjalizujących się w kradzieży danych, wymuszeniach oraz atakach na dostawców usług wspierających działalność biznesową.

W sektorze healthcare ryzyko jest szczególnie wysokie z kilku powodów: krytycznego charakteru świadczonych usług, dużej wartości informacji o pacjentach oraz rozbudowanego ekosystemu partnerów i usług zewnętrznych. W praktyce oznacza to, że skuteczny atak nie musi być wymierzony bezpośrednio w system kliniczny. Równie cennym celem mogą być aplikacje administracyjne, platformy chmurowe i narzędzia biznesowe wykorzystywane do codziennej obsługi procesów.

W analizowanym przypadku istotne jest właśnie to, że naruszenie dotyczyło aplikacji biznesowych utrzymywanych przez stronę trzecią. Taki model odzwierciedla współczesną architekturę przedsiębiorstw, w której dane przepływają pomiędzy wieloma systemami SaaS, usługami integracyjnymi i środowiskami partnerów technologicznych.

Analiza techniczna

Z ujawnionych informacji wynika, że 9 czerwca 2026 roku firma otrzymała wiadomość od sprawcy lub grupy sprawców, którzy twierdzili, że posiadają wrażliwe dane, w tym informacje zdrowotne, dane osobowe oraz dane własnościowe. Atakujący mieli zażądać zapłaty w zamian za niepublikowanie przejętych informacji.

Następnie organizacja potwierdziła, że z określonych aplikacji biznesowych doszło do eksfiltracji danych. 10 czerwca 2026 roku incydent został uznany za istotny z punktu widzenia skali i potencjalnego wpływu. Firma uruchomiła plan reagowania na incydenty oraz zaangażowała zewnętrznych specjalistów cyberbezpieczeństwa do wsparcia analizy i ograniczenia skutków zdarzenia.

Z technicznego punktu widzenia jest to scenariusz typowy dla nowoczesnych operacji extortion-first lub double extortion, nawet jeśli nie pojawiły się informacje o szyfrowaniu zasobów. Kluczowym aktywem dla napastników są dane, a głównym mechanizmem presji stają się konsekwencje regulacyjne, reputacyjne i operacyjne związane z ich wyciekiem.

Spółka wskazała, że dostęp został uzyskany z wykorzystaniem socjotechniki. Taki wektor wejścia może obejmować phishing, przejęcie poświadczeń, manipulację pracownikiem, podszywanie się pod zaufany podmiot albo nadużycie procedur helpdeskowych i odzyskiwania dostępu. W środowiskach opartych na usługach chmurowych i aplikacjach biznesowych tożsamość użytkownika bywa najsłabszym ogniwem całego łańcucha ochrony.

W praktyce podobny atak często przebiega wieloetapowo:

rozpoznanie organizacji, pracowników i wykorzystywanych platform,
pozyskanie poświadczeń lub przejęcie aktywnej sesji,
uzyskanie dostępu do aplikacji biznesowych lub paneli administracyjnych,
wyszukanie danych o najwyższej wartości,
cicha eksfiltracja informacji,
kontakt z ofiarą i próba wymuszenia zapłaty.

Brak wpływu na systemy kliniczne i urządzenia medyczne nie zmniejsza znaczenia incydentu. W wielu organizacjach to właśnie systemy wspierające biznes przechowują szerokie zbiory danych identyfikacyjnych, dokumentacyjnych i medycznych, które podlegają ścisłej ochronie i mogą stać się podstawą kosztownych działań naprawczych.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem takich naruszeń jest ekspozycja informacji o pacjentach. Dane zdrowotne są szczególnie wrażliwe, a ich wyciek może prowadzić nie tylko do klasycznej kradzieży tożsamości, lecz także do bardziej ukierunkowanych nadużyć.

kradzież tożsamości i oszustwa finansowe,
precyzyjnie przygotowany phishing skierowany do pacjentów lub partnerów,
szantaż i nadużycia reputacyjne,
wtórne wykorzystanie danych w kolejnych kampaniach przestępczych,
obowiązki notyfikacyjne, sankcje regulacyjne i ryzyko sporów prawnych.

Z perspektywy biznesowej organizacja musi liczyć się z utratą zaufania pacjentów, kosztami dochodzenia, przeglądem procedur bezpieczeństwa oraz koniecznością weryfikacji relacji z dostawcami zewnętrznymi. Incydent może również ujawnić luki w procesach zarządzania tożsamością, przydzielania uprawnień i monitorowania aktywności w aplikacjach SaaS.

Dodatkowym czynnikiem ryzyka jest sam charakter socjotechniki. Jeśli atak rozpoczął się od skutecznego oszukania użytkownika lub obejścia procedur operacyjnych, problem może mieć charakter systemowy i wykraczać poza pojedynczą aplikację czy jeden incydent dostępu.

Rekomendacje

Organizacje z sektora ochrony zdrowia oraz wszystkie podmioty przetwarzające dane wrażliwe powinny potraktować ten przypadek jako sygnał ostrzegawczy. Ochrona systemów klinicznych pozostaje ważna, ale równie istotne jest zabezpieczenie aplikacji biznesowych, kont użytkowników i procesów administracyjnych.

Najważniejsze działania operacyjne obejmują:

wymuszenie silnego MFA dla wszystkich kont, szczególnie administracyjnych i uprzywilejowanych,
wdrożenie polityk conditional access ograniczających logowania wysokiego ryzyka,
monitorowanie anomalii w usługach SaaS, takich jak masowe eksporty danych, nietypowe logowania i nowe integracje OAuth,
ograniczenie nadmiernych uprawnień zgodnie z zasadą najmniejszych uprawnień,
segmentację danych i separację systemów klinicznych od biznesowych,
regularny przegląd logów audytowych oraz odpowiednią retencję zdarzeń,
utwardzenie procesów helpdeskowych, resetów haseł i odzyskiwania kont,
szkolenia antyphishingowe oparte na realistycznych scenariuszach socjotechnicznych,
ocenę bezpieczeństwa dostawców zewnętrznych i aplikacji hostowanych przez strony trzecie,
przygotowanie planów reagowania obejmujących eksfiltrację danych i wymuszenia bez użycia ransomware.

Z defensywnego punktu widzenia szczególnie ważne jest wykrywanie ataków na tożsamość. W wielu środowiskach przejęte konto użytkownika jest najkrótszą drogą do danych pacjentów, dlatego obok klasycznych narzędzi endpoint security potrzebne są również mechanizmy ochrony poczty, wykrywania phishingu, analizy sesji i monitorowania zdarzeń w aplikacjach chmurowych.

Podsumowanie

Incydent dotyczący iRhythm pokazuje, że w sektorze healthcare celem atakujących nie muszą być wyłącznie systemy medyczne ani infrastruktura krytyczna. Bardzo cenne są także aplikacje biznesowe zawierające dane osobowe i zdrowotne, zwłaszcza gdy funkcjonują w rozbudowanym ekosystemie usług zewnętrznych.

Wstępne ustalenia wskazujące na socjotechnikę potwierdzają, że ochrona tożsamości, procedur operacyjnych i środowisk SaaS pozostaje jednym z najważniejszych filarów cyberbezpieczeństwa. Dla organizacji przetwarzających dane wrażliwe to wyraźne przypomnienie, że skuteczny atak może rozpocząć się od pojedynczej manipulacji użytkownikiem, a zakończyć poważnym naruszeniem danych pacjentów.

Źródła

GhostTree: jak rekursywne junctions w Windows pomagają ukrywać malware przed skanowaniem

Wprowadzenie do problemu / definicja

GhostTree to technika unikania detekcji w systemach Windows, która wykorzystuje rekursywne dowiązania katalogów NTFS typu junction do budowania zapętlonych struktur ścieżek. W praktyce pozwala to tworzyć bardzo dużą liczbę logicznie poprawnych odwołań do tych samych plików i katalogów, co może utrudniać lub wręcz blokować skuteczne skanowanie przez część narzędzi bezpieczeństwa.

Problem nie wynika z klasycznej podatności w jądrze systemu, ale z różnic między sposobem działania systemu plików NTFS a metodą, jaką silniki antywirusowe, EDR i skanery plików realizują rekursywne przeszukiwanie katalogów. To sprawia, że legalna funkcja systemu może zostać wykorzystana ofensywnie.

W skrócie

GhostTree opiera się na mechanizmie junctions w NTFS.
Atakujący może tworzyć zapętlone struktury katalogów bez uprawnień administratora, jeśli ma prawo zapisu do folderu.
Wiele odgałęzień prowadzących do tego samego katalogu powoduje gwałtowny wzrost liczby możliwych ścieżek.
Narzędzia bezpieczeństwa mogą zawieszać się, przekraczać limity czasu lub nie kończyć skanowania.
W efekcie złośliwy plik umieszczony w katalogu bazowym może nie zostać przeanalizowany w odpowiednim czasie.

Kontekst / historia

Dowiązania katalogów i inne typy reparse points od dawna są obecne w ekosystemie Windows. Służą między innymi do zachowania kompatybilności, reorganizacji danych oraz przekierowywania ścieżek bez konieczności fizycznego przenoszenia plików. Z perspektywy administracyjnej są użyteczne, ale z perspektywy bezpieczeństwa bywają niedoszacowanym ryzykiem.

GhostTree rozwija prostszy scenariusz określany jako GhostBranch, w którym pojedynczy katalog potomny wskazuje z powrotem na katalog nadrzędny. W wersji rozszerzonej zamiast jednej pętli powstaje wiele równoległych odgałęzień, co prowadzi do efektu drzewa rekursyjnego. Każda kolejna warstwa zwiększa liczbę poprawnych logicznie ścieżek prowadzących do tych samych obiektów.

Analiza techniczna

Junction w NTFS jest szczególnym typem reparse point, który przekierowuje dostęp z jednego katalogu do innego. Dla aplikacji analizującej system plików zawartość katalogu docelowego może wyglądać tak, jakby znajdowała się lokalnie w miejscu odwołania. To właśnie ten mechanizm staje się podstawą techniki GhostTree.

W najprostszym wariancie tworzony jest katalog podrzędny, który wskazuje z powrotem na katalog nadrzędny. Gdy skaner porusza się rekursywnie po strukturze, może wielokrotnie odwiedzać ten sam logiczny obszar danych pod różnymi ścieżkami. Jeśli oprogramowanie nie rozpoznaje cykli lub nie deduplikuje obiektów według rzeczywistej tożsamości pliku czy katalogu, zaczyna wykonywać zbędną i kosztowną analizę.

GhostTree zwiększa skuteczność tego podejścia przez dodanie wielu katalogów potomnych wskazujących na tego samego rodzica. W rezultacie liczba możliwych kombinacji ścieżek rośnie wykładniczo. Nawet jeśli głębokość pozostaje ograniczona przez długość ścieżki i zachowanie aplikacji, całkowity koszt przetwarzania może stać się bardzo wysoki.

Znaczenie ma także sposób obsługi limitów długości ścieżek w Windows. Chociaż współczesne środowiska mogą wspierać dłuższe ścieżki, wiele narzędzi nadal korzysta z uproszczonych założeń lub starszych mechanizmów. W połączeniu z reparse points może to prowadzić do timeoutów, błędów logiki skanowania albo pomijania właściwego obiektu docelowego.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem GhostTree jest możliwość ukrycia malware w lokalizacji, której pełne przeskanowanie staje się dla narzędzia ochronnego zbyt kosztowne lub praktycznie niewykonalne. Zwiększa to ryzyko, że dropper, loader, ransomware lub inny złośliwy plik pozostanie niewykryty przez istotny czas.

Technika ta jest szczególnie niebezpieczna w środowiskach, które w dużym stopniu opierają bezpieczeństwo na skanowaniu endpointów. Jeśli produkt EDR lub AV nie radzi sobie poprawnie z rekursywnymi junctions, napastnik może wykorzystać tę słabość do opóźnienia analizy lub obejścia jednej z warstw obrony.

Ryzyko nie ogranicza się wyłącznie do detekcji malware. Zapętlone struktury katalogów mogą również wpływać na działanie systemów backupu, DLP, inwentaryzacji zasobów, skryptów administracyjnych i narzędzi IR. W efekcie organizacja może obserwować zwiększone zużycie zasobów, błędy operacyjne, timeouty i problemy z analizą incydentów.

Rekomendacje

Organizacje powinny traktować junctions, symbolic links i inne reparse points jako element wymagający monitorowania. Szczególnie podejrzane są sytuacje, w których katalog potomny wskazuje na katalog nadrzędny lub wiele odgałęzień prowadzi do tej samej lokalizacji.

Wdrożyć wykrywanie cykli w grafie katalogów zamiast ślepego podążania za każdą ścieżką.
Ograniczać głębokość rekursji oraz liczbę ścieżek odwiedzanych przez skanery.
Deduplikować analizę według rzeczywistego obiektu na dysku, a nie wyłącznie tekstowej postaci ścieżki.
Monitorować tworzenie i modyfikację reparse points w telemetryce bezpieczeństwa.
Przeprowadzić audyt uprawnień do katalogów, w których użytkownicy mogą tworzyć junctions.
Testować produkty EDR, AV i skanery plików pod kątem poprawnej obsługi rekursywnych junctions.
Regularnie aktualizować silniki ochronne, ponieważ nowe wersje mogą zawierać poprawki w tym obszarze.

Dodatkowo warto uwzględnić GhostTree w działaniach threat huntingowych oraz scenariuszach ćwiczeń zespołów SOC i IR. Pozwala to wcześniej ustalić, czy używane narzędzia rzeczywiście wykrywają ten typ nadużycia i czy skanowanie kończy się prawidłowo.

Podsumowanie

GhostTree pokazuje, że obejście zabezpieczeń nie zawsze wymaga zaawansowanego exploita ani eskalacji uprawnień. Czasami wystarczy wykorzystanie legalnego mechanizmu systemu operacyjnego w sposób, którego oprogramowanie ochronne nie przewidziało. Rekursywne junctions mogą zamienić zwykły katalog w strukturę trudną do pełnego przeskanowania przez źle zaprojektowane silniki analizy.

Dla obrońców to ważne przypomnienie, że skuteczność ochrony endpointów zależy nie tylko od sygnatur i heurystyk, ale również od poprawnego modelowania zachowania systemu plików. Monitorowanie reparse points, testy odporności narzędzi oraz wielowarstwowa detekcja pozostają kluczowe, by ograniczyć skuteczność technik takich jak GhostTree.

Źródła

GhostTree Attack Abused Recursive Windows Junctions to Hide Malware — https://www.bleepingcomputer.com/news/security/ghosttree-attack-abused-recursive-windows-junctions-to-hide-malware/
Hard links and junctions — Microsoft Learn — https://learn.microsoft.com/en-us/windows/win32/fileio/hard-links-and-junctions
Maximum Path Length Limitation — Microsoft Learn — https://learn.microsoft.com/en-us/windows/win32/fileio/maximum-file-path-limitation

Novo Nordisk potwierdza kradzież danych po incydencie cyberbezpieczeństwa

Wprowadzenie do problemu / definicja

Novo Nordisk potwierdził incydent bezpieczeństwa IT, w wyniku którego doszło do nieautoryzowanego dostępu do wybranych systemów wewnętrznych oraz skopiowania części danych. To zdarzenie ma szczególne znaczenie dla branży farmaceutycznej i ochrony zdrowia, ponieważ dotyczy organizacji przetwarzającej wrażliwe informacje związane z badaniami klinicznymi oraz danymi kontaktowymi personelu medycznego.

Z perspektywy cyberbezpieczeństwa jest to klasyczny przykład naruszenia poufności danych po skutecznej kompromitacji środowiska wewnętrznego. Najistotniejszy element tego przypadku stanowi potwierdzona eksfiltracja danych, a nie wyłącznie sam fakt uzyskania nieuprawnionego dostępu.

W skrócie

W ujawnionym incydencie napastnicy uzyskali dostęp do ograniczonej liczby systemów i skopiowali dane należące do dwóch głównych grup: uczestników części badań klinicznych oraz pracowników ochrony zdrowia.

Dane uczestników badań miały charakter pseudonimizowany.
Zakres mógł obejmować losowe identyfikatory, informacje o udziale w badaniach, płeć, rok urodzenia, biomarkery, dane zdrowotne, immunogenność oraz czynniki stylu życia.
W przypadku personelu medycznego możliwe było naruszenie danych bezpośrednio identyfikujących, takich jak nazwiska, adresy e-mail, numery telefonów, dane komunikatorów, lokalizacje gabinetów i numery rejestracyjne.
Firma zaangażowała ekspertów zewnętrznych, powiadomiła właściwe organy i czasowo wyłączyła część systemów w celu ograniczenia skutków incydentu.

Kontekst / historia

Sektor farmaceutyczny od lat znajduje się w centrum zainteresowania cyberprzestępców. Powodem jest wysoka wartość danych klinicznych, znaczenie własności intelektualnej, a także możliwość wykorzystania skradzionych informacji do szantażu, oszustw biznesowych i zaawansowanych kampanii socjotechnicznych.

W tym przypadku komunikacja dotycząca incydentu była aktualizowana etapami, wraz z postępem prac dochodzeniowych. Taki model ujawniania informacji sugeruje, że organizacja prowadziła analizę zakresu kompromitacji i jednocześnie podejmowała działania ograniczające skutki naruszenia. Na etapie ujawnienia nie wskazano publicznie sprawcy ani powiązania z konkretną grupą ransomware, co może oznaczać zarówno wczesny etap śledztwa, jak i operację skoncentrowaną przede wszystkim na kradzieży danych.

Analiza techniczna

Technicznie incydent należy ocenić jako naruszenie poufności po uzyskaniu dostępu do środowiska wewnętrznego i przeprowadzeniu eksfiltracji. Sam fakt skopiowania danych oznacza, że atakujący osiągnęli poziom dostępu pozwalający nie tylko na rozpoznanie zasobów, ale również na wybór interesujących rekordów i wyprowadzenie ich poza organizację.

Kluczowe znaczenie ma rozróżnienie między danymi pseudonimizowanymi a danymi bezpośrednio identyfikującymi. W przypadku uczestników badań klinicznych brak imion i nazwisk ogranicza ryzyko natychmiastowej identyfikacji. Nie eliminuje go jednak całkowicie, ponieważ połączenie danych zdrowotnych, biomarkerów, roku urodzenia oraz informacji o stylu życia może w określonych warunkach zwiększać ryzyko reidentyfikacji.

Znacznie bardziej krytyczny pozostaje zakres danych dotyczących pracowników ochrony zdrowia. Tego typu informacje są szczególnie atrakcyjne dla napastników prowadzących kampanie spear phishingowe, próby przejęcia kont, oszustwa typu business email compromise oraz ataki oparte na relacjach zawodowych i badawczych.

Czasowe wyłączenie części systemów wewnętrznych wskazuje na zastosowanie działań typu containment. W praktyce oznacza to próbę ograniczenia dalszego ruchu intruza, izolację zasobów, zabezpieczenie materiału dowodowego oraz kontrolowane przywracanie usług po ustaleniu skali incydentu.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem incydentu jest ryzyko wtórnego wykorzystania skradzionych danych. W przypadku personelu medycznego należy liczyć się z większym prawdopodobieństwem kampanii phishingowych, podszywania się pod organizację, oszustw telefonicznych oraz prób wyłudzenia informacji lub dostępu do systemów.

Dla uczestników badań klinicznych zagrożenie ma bardziej złożony charakter. Choć pseudonimizacja ogranicza bezpośrednie ryzyko ujawnienia tożsamości, dane zdrowotne i informacje o udziale w badaniach pozostają wyjątkowo wrażliwe. Ewentualna możliwość ich korelacji z innymi zbiorami danych może rodzić skutki prywatnościowe, regulacyjne i reputacyjne.

Z biznesowego punktu widzenia incydent oznacza również koszty związane z dochodzeniem, obsługą zgłoszeń, komunikacją kryzysową, notyfikacjami oraz dodatkowymi inwestycjami w bezpieczeństwo. Nawet bez publicznego przypisania sprawcy organizacja musi zakładać, że skradzione dane mogą zostać wykorzystane z opóźnieniem, odsprzedane lub użyte jako element presji na późniejszym etapie.

Rekomendacje

Incydent ten powinien być sygnałem ostrzegawczym dla organizacji z sektora life sciences i healthcare. Kluczowe jest ograniczenie możliwości poruszania się napastnika po środowisku oraz szybkie wykrywanie prób eksfiltracji danych.

Wdrożenie segmentacji środowisk przetwarzających dane kliniczne, administracyjne i komunikacyjne.
Stosowanie pełnego uwierzytelniania wieloskładnikowego dla kont wewnętrznych, zdalnych i uprzywilejowanych.
Monitorowanie anomalii obejmujących transfery danych, nietypowe logowania oraz dostęp poza standardowymi godzinami pracy.
Klasyfikowanie danych według wrażliwości i rozszerzenie kontroli DLP oraz audytu dostępu.
Regularne testowanie procedur reagowania na incydenty, w tym izolacji systemów i przywracania usług.
Dodatkowa ochrona systemów przechowujących informacje pozwalające powiązać dane pseudonimizowane z konkretną osobą.

Dla potencjalnie dotkniętych osób praktyczną rekomendacją pozostaje wzmożona ostrożność wobec wiadomości e-mail, połączeń telefonicznych i innych komunikatów odnoszących się do badań klinicznych, współpracy medycznej, aktualizacji kont czy pilnych próśb o podjęcie działania.

Podsumowanie

Przypadek Novo Nordisk pokazuje, że nawet ograniczony zakres kompromitacji może prowadzić do poważnych skutków, jeśli incydent obejmuje dane kliniczne oraz bezpośrednio identyfikujące informacje o personelu medycznym. Najważniejszym elementem tego zdarzenia jest potwierdzona eksfiltracja danych, która znacząco podnosi poziom ryzyka operacyjnego i reputacyjnego.

Pseudonimizacja zmniejsza część zagrożeń, ale nie rozwiązuje problemu całkowicie, zwłaszcza w kontekście danych zdrowotnych. Dla organizacji obronny priorytet pozostaje niezmienny: segmentacja, silna kontrola dostępu, monitoring eksfiltracji oraz gotowość do szybkiej izolacji systemów i prowadzenia dochodzenia powłamaniowego.

Źródła

Novo Nordisk Confirms Data Theft: What Attackers Took and What They Didn’t

Obywatel Ukrainy przyznał się w USA do udziału w operacji Conti ransomware

Wprowadzenie do problemu / definicja

Amerykańskie organy ścigania odnotowały kolejny istotny postęp w sprawach wymierzonych w ekosystem ransomware. Obywatel Ukrainy, Oleksii Oleksiyovych Lytvynenko, przyznał się przed sądem w USA do udziału w działalności grupy Conti, jednej z najbardziej znanych i destrukcyjnych operacji ransomware ostatnich lat. Sprawa pokazuje, że odpowiedzialność karna obejmuje nie tylko operatorów uruchamiających szyfrujące ładunki, ale również osoby rozwijające techniczne komponenty wspierające ataki.

W skrócie

Lytvynenko przyznał się do udziału w działalności grupy Conti.
Według ustaleń śledczych pracował nad loaderem malware wykorzystywanym przez tę operację.
Dołączył do grupy we wrześniu 2021 roku.
Po zatrzymaniu w Irlandii w 2023 roku został wydany do USA w październiku 2025 roku.
Potwierdził także posiadanie danych pochodzących od 12 ofiar, w tym ośmiu z USA.
Grozi mu kara do 20 lat pozbawienia wolności, a ogłoszenie wyroku zaplanowano na 10 września 2026 roku.

Kontekst / historia

Conti był jednym z najaktywniejszych gangów ransomware działających globalnie w latach 2020–2022. Grupa zyskała rozgłos dzięki masowym atakom na przedsiębiorstwa i instytucje, łącząc szyfrowanie danych z kradzieżą informacji oraz presją finansową na ofiary. Według publicznie dostępnych szacunków organizacja odpowiadała za ataki na ponad 1000 podmiotów w USA i poza nimi.

Upadek marki Conti nie oznaczał jednak końca jej wpływu operacyjnego. Po deklaracji poparcia dla rosyjskiego rządu doszło do wycieku wewnętrznych danych grupy, co ujawniło jej strukturę, narzędzia oraz sposób działania. Był to jeden z najważniejszych momentów analitycznych dla środowiska cyberbezpieczeństwa, ponieważ umożliwił lepsze zrozumienie zależności między Conti a innymi rodzinami malware oraz operatorami zaplecza przestępczego.

Analiza techniczna

Kluczowym elementem sprawy jest rola loadera malware. Loader to komponent odpowiedzialny za dostarczenie i uruchomienie właściwego ładunku na zainfekowanym systemie. W praktyce może pobierać kolejne moduły, omijać część mechanizmów ochronnych, utrzymywać kompatybilność z różnymi środowiskami oraz przygotowywać stację roboczą lub serwer do dalszej fazy ataku.

Przyznanie się do prac nad loaderem wskazuje, że oskarżony nie był wyłącznie uczestnikiem marginalnym, ale osobą wspierającą techniczne fundamenty operacji. W nowoczesnych kampaniach ransomware takie komponenty są krytyczne, ponieważ zwiększają skuteczność wdrażania złośliwego oprogramowania, ułatwiają skalowanie ataków i skracają czas od początkowej kompromitacji do uruchomienia szyfrowania.

Sprawa ma także znaczenie z perspektywy analizy ekosystemowej. Conti było łączone z szerszym zapleczem przestępczym obejmującym między innymi TrickBot oraz powiązane narzędzia wykorzystywane do uzyskania dostępu początkowego, przemieszczania się w sieci i przygotowania środowiska ofiary do wymuszenia okupu. Pokazuje to, że ransomware rzadko funkcjonuje jako pojedynczy plik lub izolowana kampania. Zwykle stanowi końcowy etap wielowarstwowego łańcucha ataku, w którym uczestniczą różne wyspecjalizowane podmioty.

Konsekwencje / ryzyko

Dla organizacji najważniejszy wniosek jest prosty: zagrożenie ransomware obejmuje cały łańcuch dostaw cyberprzestępczości. Obronę należy planować nie tylko pod kątem wykrywania samego szyfrowania danych, ale również wcześniejszych etapów, takich jak loader, dostęp początkowy, kradzież danych i wykorzystanie narzędzi post-exploitation.

Ryzyko operacyjne pozostaje wysokie z kilku powodów. Po pierwsze, zamknięcie jednej marki ransomware nie eliminuje infrastruktury, kompetencji ani relacji między przestępcami. Po drugie, deweloperzy malware mogą przenosić swoje umiejętności i kod do nowych projektów działających pod innymi nazwami. Po trzecie, posiadanie danych ofiar przez członków grupy wskazuje na utrzymujący się model podwójnego wymuszenia, w którym wyciek informacji jest równie istotny jak samo szyfrowanie systemów.

Z perspektywy ryzyka biznesowego oznacza to możliwość równoczesnego wystąpienia przestoju operacyjnego, utraty poufności danych, kosztów prawnych, presji regulacyjnej oraz szkód reputacyjnych. W praktyce nawet częściowe uczestnictwo w takim ekosystemie, jak rozwój loadera, może mieć bezpośredni wpływ na skalę i skuteczność ataków przeciwko setkom organizacji.

Rekomendacje

Organizacje powinny traktować ochronę przed ransomware jako program obejmujący prewencję, detekcję, reagowanie i odtwarzanie. W warstwie technicznej kluczowe pozostaje wdrożenie segmentacji sieci, monitoringu ruchu lateralnego, kontroli wykonania binariów oraz telemetrii EDR/XDR zdolnej do wykrywania nietypowych łańcuchów uruchamiania procesów.

Warto wzmacniać zabezpieczenia wokół mechanizmów dostarczania malware, w tym skanowania załączników, filtrowania treści web, blokowania makr i skryptów wysokiego ryzyka oraz analizy reputacyjnej plików i domen. Równie istotne są polityki najmniejszych uprawnień, twarde ograniczenia dla kont uprzywilejowanych oraz pełne wdrożenie MFA dla dostępu zdalnego i administracyjnego.

Z perspektywy odporności operacyjnej niezbędne są regularnie testowane kopie zapasowe offline lub immutable, scenariusze IR uwzględniające kradzież danych oraz ćwiczenia typu tabletop obejmujące decyzje prawne, komunikacyjne i biznesowe. Zespoły bezpieczeństwa powinny również korzystać z aktualnego threat intelligence i mapować obserwowane techniki do scenariuszy charakterystycznych dla rodzin malware powiązanych z ransomware.

Podsumowanie

Przyznanie się obywatela Ukrainy do udziału w działalności Conti jest ważnym sygnałem dla rynku cyberbezpieczeństwa. Sprawa podkreśla, że odpowiedzialność karna obejmuje również twórców komponentów technicznych wspierających ataki, takich jak loadery malware. Jednocześnie przypomina, że ransomware to nie pojedyncze narzędzie, lecz złożony ekosystem oparty na współpracy operatorów, deweloperów i brokerów dostępu. Dla obrońców oznacza to konieczność budowania wielowarstwowych mechanizmów ochrony, które identyfikują zagrożenie na długo przed etapem szyfrowania danych.

Źródła

SecurityWeek — Ukrainian Man Pleads Guilty in US to Conti Ransomware Charges — https://www.securityweek.com/ukrainian-man-pleads-guilty-in-us-to-conti-ransomware-charges/

The Gentlemen: ransomware napędzany infostealerami, AI i modelem afiliacyjnym 90/10

Wprowadzenie do problemu / definicja

The Gentlemen to grupa ransomware, która w krótkim czasie zyskała rozgłos dzięki połączeniu kilku skutecznych elementów operacyjnych: dostępu pozyskiwanego z logów infostealerów, wykorzystania narzędzi wspieranych przez sztuczną inteligencję oraz bardzo atrakcyjnego modelu wynagradzania afiliantów. To przykład nowoczesnego ekosystemu RaaS, w którym o przewadze nie decyduje wyłącznie sam szyfrator, ale przede wszystkim sprawność w zdobywaniu dostępu i skalowaniu ataków.

W praktyce oznacza to przesunięcie akcentu z pojedynczego, zaawansowanego exploita na dobrze zorganizowany model biznesowy cyberprzestępczości. The Gentlemen pokazuje, że ransomware coraz częściej działa jak profesjonalna usługa, rozwijana i optymalizowana podobnie jak legalne produkty technologiczne.

W skrócie

Grupa The Gentlemen pojawiła się we wrześniu 2025 roku.
Do połowy czerwca 2026 roku przypisano jej 483 ofiary z 66 krajów.
Trzon operacji miało tworzyć dziewięć osób.
Afilianci zatrzymywali aż 90% okupu, co wyróżniało tę ofertę na tle konkurencji.
Początkowy dostęp często pochodził ze skradzionych poświadczeń i tokenów sesyjnych przejętych przez infostealery.
AI miała wspierać prace programistyczne, analizę danych i zadania operacyjne.

Kontekst / historia

The Gentlemen wpisuje się w wieloletni trend profesjonalizacji rynku ransomware. Współczesne grupy tego typu nie ograniczają się do tworzenia malware. Budują zaplecze negocjacyjne, rozwijają infrastrukturę, rekrutują afiliantów i standaryzują procesy ataku. Dzięki temu mogą działać szybciej, taniej i na większą skalę.

Szczególne znaczenie w analizie tej grupy miały ujawnione logi czatów obejmujące okres od 7 listopada 2025 roku do 30 kwietnia 2026 roku. Materiał ten miał wskazywać, że operatorzy nie tworzyli wszystkiego od podstaw, lecz adaptowali znane techniki oraz korzystali z doświadczeń wyniesionych z wcześniejszych kampanii ransomware. To ważny sygnał dla obrońców: skuteczność ataku nie musi wynikać z nowatorskich narzędzi, ale z dobrego wykorzystania już znanych metod.

Interesujący jest również dobór celów. Choć ataki obejmowały wiele regionów, udział ofiar z USA był niższy niż w przypadku części innych kampanii ransomware. Większy nacisk miał być kładziony na organizacje z regionów o wysokiej podatności operacyjnej, co sugeruje, że grupa dobierała cele nie tylko pod kątem wysokości potencjalnego okupu, ale także prawdopodobieństwa szybkiej presji biznesowej.

Analiza techniczna

Rdzeń techniczny operacji The Gentlemen koncentrował się na fazie initial access. Zamiast polegać wyłącznie na bieżącym exploitowaniu nowych podatności, grupa miała łączyć kilka sprawdzonych metod wejścia do środowiska ofiary.

eksploatację urządzeń i usług wystawionych do internetu,
wykorzystanie starszych słabości środowisk Active Directory,
logowanie z użyciem prawidłowych poświadczeń przejętych przez infostealery,
nadużycie przejętych skrzynek pocztowych i aktywnych sesji użytkowników.

W analizach przypisywanych tej kampanii pojawiały się odniesienia do podatności w FortiOS oraz do technik znanych ze środowisk Windows i Active Directory, takich jak ZeroLogon czy PetitPotam. Oznacza to, że grupa nie musiała stale dysponować kosztownym łańcuchem zero-day. W wielu przypadkach wystarczało skuteczne połączenie znanych luk, błędnej konfiguracji oraz przejętych danych uwierzytelniających.

Największym akceleratorem operacji były jednak infostealery. To właśnie one dostarczają przestępcom loginów, haseł, ciasteczek sesyjnych oraz innych artefaktów uwierzytelniających. Jeśli pracownik zalogował się do poczty, VPN lub panelu administracyjnego z wcześniej zainfekowanego hosta, te dane mogły trafić do obiegu przestępczego i zostać wykorzystane przez operatorów ransomware. Szczególnie groźne są aktywne tokeny sesyjne, ponieważ w części scenariuszy pozwalają ominąć tradycyjne mechanizmy MFA.

Istotny pozostaje także wątek wykorzystania AI. Z dostępnych informacji wynika, że modele AI mogły wspierać rozwój paneli, automatyzację zaplecza oraz analizę dużych wolumenów wykradzionych danych. Nie oznacza to pełnej autonomizacji ataku, ale potwierdza, że sztuczna inteligencja staje się dla cyberprzestępców narzędziem zwiększającym produktywność i przyspieszającym operacje wymuszeniowe.

W kampaniach tego rodzaju rośnie również znaczenie samej eksfiltracji danych. Szyfrowanie nie jest już jedyną metodą nacisku. Przejęta korespondencja, dokumentacja medyczna, dane klientów czy wewnętrzne kontakty mogą być wykorzystywane do szantażu, wtórnego phishingu lub dalszej kompromitacji partnerów biznesowych.

Konsekwencje / ryzyko

Model działania The Gentlemen zwiększa ryzyko dla organizacji na kilku poziomach. Po pierwsze, uzależnienie od infostealerów oznacza, że naruszenie może rozpocząć się poza klasycznym perymetrem bezpieczeństwa, na urządzeniu pracownika lub partnera. Po drugie, użycie legalnych poświadczeń utrudnia wykrycie intruza, ponieważ jego aktywność może przypominać zwykłe logowanie lub standardowe działania administracyjne.

Po trzecie, bardzo wysoki udział zysków dla afiliantów może przyciągać większą liczbę partnerów, co zwiększa skalę kampanii i różnorodność stosowanych technik. Po czwarte, wsparcie AI obniża koszt realizacji bardziej złożonych działań, takich jak rozwój narzędzi, analiza danych czy organizacja procesu szantażu.

Dla ofiar oznacza to realne zagrożenia:

przestój operacyjny po zaszyfrowaniu systemów,
wyciek danych wrażliwych,
nadużycie przejętych skrzynek i tożsamości,
wtórne kampanie phishingowe prowadzone z zaufanych kont,
straty finansowe, regulacyjne i reputacyjne.

Szczególnie narażone pozostają organizacje z ekspozycją usług zdalnych, zaległościami w patchowaniu urządzeń brzegowych, słabym monitoringiem sesji użytkowników oraz niewystarczającą widocznością wycieków poświadczeń w ekosystemie infostealerów.

Rekomendacje

Obrona przed kampaniami podobnymi do The Gentlemen wymaga połączenia bezpieczeństwa endpointów, tożsamości i infrastruktury internetowej. To nie jest już wyłącznie problem antywirusa czy kopii zapasowych, ale kwestia pełnej kontroli nad cyklem życia poświadczeń i sesji użytkowników.

priorytetowo łatać urządzenia i usługi dostępne z internetu, zwłaszcza firewalle, VPN i systemy zdalnego dostępu,
reagować natychmiast na każdy sygnał wycieku poświadczeń pracowników w logach infostealerów,
wymuszać reset haseł oraz unieważniać aktywne sesje po wykryciu kompromitacji,
wdrażać uwierzytelnianie odporne na phishing i przejęcie sesji, najlepiej z użyciem passkeys lub sprzętowych metod potwierdzania tożsamości,
utwardzać Active Directory i eliminować znane ścieżki eskalacji uprawnień,
segmentować sieć w celu ograniczenia ruchu bocznego po kompromitacji pojedynczego hosta,
monitorować pocztę i alertować o nietypowych logowaniach do OWA, VPN i paneli administracyjnych,
chronić przeglądarki oraz stacje robocze przed kradzieżą ciasteczek, tokenów i zapisanych haseł,
regularnie testować kopie zapasowe offline oraz procedury odtworzeniowe,
zakładać, że incydent ransomware obejmuje również eksfiltrację danych, nawet jeśli pierwszym objawem jest szyfrowanie.

W praktyce najskuteczniejsze podejście wymaga korelacji telemetryki z wielu warstw: EDR/XDR, IAM, poczty, VPN, serwerów katalogowych oraz źródeł threat intelligence. Sama detekcja malware na stacji końcowej może nie wystarczyć, jeśli napastnicy korzystają już z aktywnych sesji i prawidłowych danych logowania.

Podsumowanie

The Gentlemen pokazuje, że współczesne ransomware nie potrzebuje przełomowego malware, aby osiągnąć dużą skalę działania. Wystarczy skuteczny model afiliacyjny, łatwy dostęp do poświadczeń z infostealerów, umiejętne wykorzystanie znanych technik i wsparcie AI w zadaniach operacyjnych.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że ochrona tożsamości, monitorowanie wycieków poświadczeń oraz szybkie reagowanie na kompromitację sesji stają się równie ważne jak patch management i backup. W 2026 roku przewaga napastnika coraz częściej wynika nie z jednego wyrafinowanego exploita, ale z umiejętności łączenia wielu dostępnych komponentów w sprawny model biznesowy cyberprzestępczości.

Źródła

Security Affairs — https://securityaffairs.com/193622/uncategorized/infostealers-ai-and-a-90-affiliate-cut-fuel-the-gentlemen-groups-rise.html