Archiwa: Ransomware - Strona 23 z 120

DIL Observatory pokazuje, jak geopolityka napędza aktywność cyberprzestępców

Wprowadzenie do problemu / definicja

Cyberprzestrzeń coraz wyraźniej przestaje być odrębnym, wyłącznie technicznym obszarem ryzyka. W praktyce incydenty bezpieczeństwa coraz częściej pojawiają się w momentach istotnych politycznie, społecznie lub symbolicznie, a ich timing bywa równie ważny jak sama technika ataku. Właśnie ten związek między wydarzeniami w świecie fizycznym a reakcją środowisk cyberprzestępczych analizuje inicjatywa DIL Observatory.

Projekt został przedstawiony jako narzędzie do obserwacji korelacji między napięciami geopolitycznymi, dużymi wydarzeniami publicznymi, procesami wyborczymi oraz aktywnością grup hakerskich, hacktywistycznych i aktorów prowadzących operacje wpływu. To podejście przesuwa analizę z poziomu pojedynczego incydentu na poziom szerszego kontekstu strategicznego.

W skrócie

DIL Observatory ma mapować incydenty cyberbezpieczeństwa w zestawieniu z wydarzeniami geopolitycznymi i społecznymi. Założenie projektu jest proste: moment wystąpienia cyberataku często nie jest przypadkowy, lecz powiązany z wyborami, napięciami między państwami, wydarzeniami międzynarodowymi lub imprezami masowymi.

analizuje zależności między incydentami cybernetycznymi a wydarzeniami wysokiego profilu,
uwzględnia zarówno ataki DDoS, jak i kampanie dezinformacyjne czy publikacje rzekomo wykradzionych danych,
ma wspierać model wczesnego ostrzegania oparty na kontekście, a nie wyłącznie na wskaźnikach technicznych,
wskazuje, że efekt psychologiczny i medialny bywa równie istotny jak skala techniczna incydentu.

Kontekst / historia

Koncepcja łączenia danych o cyberatakach z kontekstem politycznym i społecznym nie jest całkowicie nowa, jednak dopiero w ostatnich latach zyskała wyraźne potwierdzenie operacyjne. Rosnąca liczba kampanii sugeruje, że grupy motywowane politycznie lub ideologicznie uruchamiają działania dokładnie wtedy, gdy ich efekt informacyjny może być największy.

Wśród przywołanych przykładów znalazły się incydenty związane z zimowymi igrzyskami Milano-Cortina, próby zakłócenia infrastruktury Eurowizji w Wiedniu, operacje wymierzone w instytucje podczas procesów wyborczych w Austrii oraz aktywność obserwowana przy okazji ponowionych wyborów prezydenckich w Rumunii. W materiale wskazano także publikacje i oferty sprzedaży rzekomo wykradzionych danych z sektora obronnego w okresach podwyższonego napięcia międzynarodowego.

Takie przypadki pokazują, że cyberatak coraz częściej nie jest celem samym w sobie. Staje się elementem szerszej presji informacyjnej, psychologicznej i politycznej, której skuteczność rośnie wraz z odpowiednio dobranym momentem uderzenia.

Analiza techniczna

Z technicznego punktu widzenia kluczowe jest nie tylko to, jakiego rodzaju atak został przeprowadzony, ale także dlaczego wystąpił właśnie w danym momencie. DIL Observatory koncentruje się na zjawisku synchronizacji operacji cybernetycznych z kalendarzem wydarzeń o wysokiej wartości symbolicznej, medialnej lub politycznej.

Pierwszą kategorią są ataki zakłócające dostępność usług, przede wszystkim DDoS, wymierzone w portale administracji publicznej, serwisy wydarzeń, systemy akredytacyjne czy infrastrukturę informacyjną. W takich operacjach trwałe uszkodzenie systemu nie zawsze jest najważniejsze. Często większe znaczenie ma demonstracja podatności celu i wywołanie efektu medialnego.

Drugą grupę stanowią operacje oparte na publikacji, sprzedaży lub nagłaśnianiu rzekomo wykradzionych danych. Nawet jeśli autentyczność zbiorów nie została jeszcze potwierdzona, sam komunikat opublikowany na forach podziemnych może oddziaływać psychologicznie, wzmacniać niepewność i generować presję na instytucję lub opinię publiczną.

Trzeci wymiar obejmuje aktywność cybermilicji i grup hacktywistycznych, które otwarcie komunikują cele polityczne i dopasowują narrację do bieżących napięć międzynarodowych. W takim modelu infrastruktura techniczna staje się nośnikiem komunikatu, a atak na stronę ministerstwa, giełdę czy system obsługi wydarzenia publicznego ma znaczenie wykraczające poza samą niedostępność usługi.

Z perspektywy analitycznej DIL Observatory ma agregować potwierdzone incydenty, kampanie ransomware, ujawnienia naruszeń, aktywność grup zagrożeń oraz sygnały z kanałów komunikacyjnych aktorów podziemnych, a następnie osadzać je w kontekście wydarzeń geopolitycznych i społecznych. To próba przejścia od reaktywnego raportowania do kontekstowego modelu przewidywania ryzyka.

Konsekwencje / ryzyko

Najważniejszą konsekwencją tego trendu jest konieczność zmiany sposobu oceny ryzyka. Organizacje nie mogą już analizować zagrożeń wyłącznie przez pryzmat własnej ekspozycji technicznej, poziomu podatności czy historii wcześniejszych incydentów. Coraz większe znaczenie ma również to, czy dana instytucja znajduje się w centrum wydarzenia politycznego, społecznego lub medialnego.

Szczególnie narażone pozostają podmioty, które mogą stać się celem symbolicznym albo operacyjnym w okresach podwyższonego napięcia.

administracja publiczna i infrastruktura wyborcza,
organizatorzy imprez masowych i wydarzeń międzynarodowych,
sektor transportowy i hotelarski obsługujący wydarzenia wysokiego profilu,
podmioty z sektora obronnego i przemysłowego,
operatorzy infrastruktury krytycznej,
media i platformy publikacyjne.

Ryzyko nie ogranicza się do skutków operacyjnych. Równie istotne są straty reputacyjne, możliwość wywołania paniki, osłabienia zaufania do instytucji oraz wykorzystania incydentu jako narzędzia nacisku politycznego. W praktyce nawet technicznie ograniczony incydent może mieć duży wpływ strategiczny, jeśli zostanie uruchomiony w odpowiednim momencie.

Rekomendacje

Organizacje powinny rozszerzyć monitoring bezpieczeństwa o analizę kontekstową i korelować dane techniczne z kalendarzem wydarzeń politycznych, wyborczych, sportowych i społecznych. To podejście pozwala wcześniej identyfikować okresy, w których prawdopodobieństwo ataku rośnie ze względu na znaczenie symboliczne celu.

identyfikować okresy podwyższonego ryzyka związane z wyborami, szczytami międzynarodowymi, protestami i dużymi wydarzeniami publicznymi,
wzmacniać ochronę przed DDoS dla systemów zewnętrznych i usług krytycznych przed wydarzeniami wysokiego profilu,
przygotować procedury kryzysowe na wypadek publikacji rzekomo wykradzionych danych, nawet bez potwierdzenia ich autentyczności,
monitorować kanały komunikacyjne grup hacktywistycznych i środowisk podziemnych pod kątem zapowiedzi kampanii,
prowadzić ćwiczenia obejmujące jednoczesny incydent techniczny oraz presję medialno-polityczną,
integrować zespoły bezpieczeństwa, komunikacji kryzysowej i zarządzania ryzykiem,
wprowadzać krótkoterminowe podniesienie gotowości operacyjnej w dniach szczególnie istotnych geopolitycznie.

Dla zespołów CTI i SOC oznacza to także odejście od modelu, w którym alert ocenia się wyłącznie przez pryzmat IOC, TTP i podatności. Coraz częściej równie ważne staje się pytanie o motywację czasową, czyli dlaczego dany incydent pojawia się właśnie teraz.

Podsumowanie

DIL Observatory wpisuje się w rosnący trend postrzegania cyberbezpieczeństwa jako elementu szerszego krajobrazu geopolitycznego. Opisywane przypadki pokazują, że aktywność grup działających w cyberprzestrzeni bywa silnie skorelowana z wyborami, wydarzeniami międzynarodowymi, napięciami między państwami oraz momentami wzmożonej uwagi mediów.

Dla obrońców oznacza to potrzebę łączenia analizy technicznej z analizą kontekstu. We współczesnym cyberbezpieczeństwie liczy się już nie tylko to, co zostało zaatakowane, ale także kiedy i z jakiego powodu nastąpiło uderzenie.

Źródła

Ataki na FortiClient EMS: luka CVE-2026-35616 posłużyła do dystrybucji infostealera EKZ

Wprowadzenie do problemu / definicja

Aktywnie wykorzystywana podatność CVE-2026-35616 w FortiClient Enterprise Management Server (EMS) pokazuje, jak niebezpieczne może być przejęcie centralnej infrastruktury zarządzania punktami końcowymi. W tym przypadku napastnicy nie ograniczyli się do uzyskania dostępu do serwera zarządzającego, lecz wykorzystali go jako zaufany kanał do rozsyłania złośliwego oprogramowania do zarządzanych stacji roboczych. Kampania doprowadziła do wdrożenia nowego infostealera oznaczonego jako EKZ, podszywającego się pod legalną poprawkę dla oprogramowania Fortinet.

W skrócie

CVE-2026-35616 to krytyczna luka typu authentication bypass w FortiClient EMS.
Podatność umożliwia nieuwierzytelnionemu atakującemu wykonywanie działań administracyjnych, w tym zdalne uruchamianie poleceń lub kodu.
Napastnicy wykorzystywali przejęty serwer EMS do modyfikowania profili zdalnego dostępu i polityk endpointów.
Końcowym ładunkiem był infostealer EKZ kradnący dane z przeglądarek Chromium oraz Firefox.
Atak wyróżnia się użyciem legalnego, zaufanego kanału administracyjnego do dystrybucji malware.

Kontekst / historia

FortiClient EMS pełni rolę centralnego systemu zarządzania agentami FortiClient, politykami bezpieczeństwa oraz konfiguracją połączeń VPN. Tego typu platformy są wyjątkowo atrakcyjnym celem dla cyberprzestępców, ponieważ kompromitacja pojedynczego serwera może przełożyć się na szeroki wpływ na całe środowisko organizacji.

Podatność CVE-2026-35616 została publicznie powiązana z aktywnymi atakami na początku kwietnia 2026 roku. Producent potwierdził wykorzystanie luki w rzeczywistych kampaniach i opublikował awaryjne poprawki dla podatnych wersji 7.4.5 oraz 7.4.6. Jednocześnie wskazano, że linia 7.2 nie została objęta tym problemem. Sprawa zyskała dodatkową wagę po pilnych ostrzeżeniach dla administracji federalnej USA oraz doniesieniach o dużej liczbie publicznie dostępnych instancji EMS wystawionych do Internetu.

Z czasem analizy incydentów pokazały, że luka nie była używana wyłącznie do uzyskania dostępu administracyjnego. Atakujący zaczęli wykorzystywać centralne mechanizmy zarządzania FortiClient do masowego dostarczania złośliwego kodu na zarządzane endpointy, znacząco zwiększając skalę oddziaływania pojedynczej kompromitacji.

Analiza techniczna

Źródłem problemu jest nieprawidłowa kontrola dostępu w interfejsach API FortiClient EMS. W praktyce oznacza to możliwość wykonywania operacji administracyjnych bez poprawnego uwierzytelnienia. Po skutecznym obejściu mechanizmów dostępowych napastnik może ingerować w konfigurację systemu oraz polityki stosowane wobec agentów końcowych.

W obserwowanej kampanii łańcuch ataku przebiegał według powtarzalnego schematu. Najpierw napastnik wykorzystywał CVE-2026-35616 do uzyskania nieautoryzowanego dostępu do funkcji administracyjnych EMS. Następnie modyfikował profil Remote Access Profile i polityki endpointów, dodając skrypt uruchamiany po zestawieniu połączenia VPN. Po ustanowieniu tunelu IPsec komponent FortiClient uruchamiał skrypt wsadowy przy użyciu procesów systemowych, a ten wywoływał zakodowany w Base64 payload PowerShell. Kolejnym etapem było pobranie pliku wykonywalnego podszywającego się pod legalną poprawkę endpointową, który finalnie uruchamiał infostealera EKZ.

Istotne jest to, że złośliwy kod nie był dostarczany przez phishing ani przez odrębne włamanie na każdą stację. Dystrybucja odbywała się za pośrednictwem zaufanego kanału administracyjnego. W efekcie każdy zarządzany endpoint mógł stać się celem wykonania malware bez wzbudzania natychmiastowych podejrzeń użytkownika.

Sam EKZ Infostealer koncentruje się na kradzieży danych z przeglądarek. Obejmuje to zapisane hasła, ciasteczka sesyjne, dane autouzupełniania, informacje adresowe oraz dane kart płatniczych. Obsługiwane są zarówno przeglądarki oparte na Chromium, jak i Firefox. Szczególnie niebezpieczna jest zdolność do pozyskiwania ciasteczek i innych danych wspierających przejęcie aktywnych sesji, co może ograniczać skuteczność części mechanizmów MFA.

W analizach incydentów zwracano uwagę na sygnały ostrzegawcze w logach EMS. Jednym z ważniejszych wskaźników był komunikat o braku certyfikatu w nagłówku żądania, po którym mogły następować nietypowe operacje związane z certyfikatami i zmianami konfiguracji. Dodatkowo obserwowano logowania z infrastruktury VPS, z węzłów Tor oraz nieoczekiwane modyfikacje profili zdalnego dostępu.

Konsekwencje / ryzyko

Skutki kompromitacji FortiClient EMS są znacznie poważniejsze niż przejęcie pojedynczego hosta. W tym scenariuszu naruszona zostaje zaufana płaszczyzna zarządzania, która może posłużyć do równoczesnego wdrożenia złośliwych skryptów na wielu stacjach roboczych i systemach klienckich.

masowa dystrybucja malware do zarządzanych endpointów,
kradzież poświadczeń z przeglądarek i aplikacji webowych,
przejęcie sesji przy użyciu ciasteczek uwierzytelniających,
wtórny dostęp do usług chmurowych, paneli administracyjnych i aplikacji wewnętrznych,
ryzyko dalszego ruchu bocznego lub eskalacji do ransomware,
utrata integralności konfiguracji bezpieczeństwa dystrybuowanej centralnie.

Z perspektywy operacyjnej szczególnie niebezpieczne jest to, że część aktywności może przypominać legalne działania administracyjne. Jeśli organizacja nie monitoruje zmian w profilach VPN, uruchomień PowerShell inicjowanych przez komponenty FortiClient oraz nietypowych logowań do konsoli EMS, naruszenie może pozostać niewykryte przez dłuższy czas.

Rekomendacje

Organizacje korzystające z FortiClient EMS powinny potraktować ten typ incydentu jako zagrożenie dla całej floty zarządzanych urządzeń, a nie wyłącznie dla jednego serwera aplikacyjnego. Reakcja powinna obejmować zarówno działania naprawcze po stronie EMS, jak i szeroką weryfikację endpointów.

niezwłocznie zainstalować poprawki bezpieczeństwa lub przeprowadzić aktualizację do wersji wolnej od problemu,
sprawdzić, czy instancja EMS była wystawiona bezpośrednio do Internetu,
przeanalizować logi EMS pod kątem anomalii związanych z certyfikatami i próbami obejścia uwierzytelnienia,
zweryfikować ostatnie zmiany w profilach Remote Access Profile, politykach endpointów i skryptach uruchamianych po zestawieniu tunelu VPN,
monitorować uruchomienia cmd.exe i powershell.exe inicjowane przez procesy FortiClient,
poszukiwać artefaktów w katalogach związanych z logowaniem i skryptami klienta oraz podejrzanych plików w katalogach systemowych,
wykrywać połączenia HTTP do surowych adresów IP oraz sekwencje obejmujące pobranie, uruchomienie i eksfiltrację danych,
sprawdzić, czy nie pojawiły się nowe konta administracyjne lub logowania z nietypowych lokalizacji i ASN,
wymusić reset poświadczeń użytkowników przy podejrzeniu kradzieży danych z przeglądarek,
unieważnić aktywne sesje w systemach SaaS i aplikacjach wewnętrznych, aby ograniczyć skutki przejęcia ciasteczek.

W środowiskach o podwyższonych wymaganiach bezpieczeństwa warto dodatkowo odseparować płaszczyznę zarządzania EMS od sieci publicznej, ograniczyć dostęp administracyjny za pomocą segmentacji i list dozwolonych adresów oraz wdrożyć reguły detekcji skupione na nietypowych modyfikacjach centralnie dystrybuowanej konfiguracji VPN.

Podsumowanie

Kampania wykorzystująca CVE-2026-35616 przeciwko FortiClient EMS pokazuje, że atak na system zarządzający może mieć skutki porównywalne z naruszeniem o charakterze domenowym. Po obejściu uwierzytelnienia napastnicy użyli legalnych funkcji platformy do wypchnięcia infostealera EKZ na zarządzane endpointy, znacząco zwiększając skalę i skuteczność operacji.

Dla zespołów bezpieczeństwa kluczowy wniosek jest jasny: kompromitacja systemu EDR, UEM, MDM czy platformy zarządzania klientami VPN nie powinna być traktowana jak zwykły incydent serwerowy. Wymaga szybkiego łatania, monitorowania zmian konfiguracyjnych, analizy procesów potomnych uruchamianych przez agentów końcowych oraz założenia, że wszystkie zarządzane hosty mogły zostać narażone.

Źródła

Silent Ransom Group atakuje kancelarie prawne: wymuszenia bez szyfrowania i rosnące znaczenie dostępu fizycznego

Wprowadzenie do problemu / definicja

Silent Ransom Group to cyberprzestępcza grupa specjalizująca się w wymuszeniach opartych przede wszystkim na kradzieży danych, a nie na klasycznym szyfrowaniu systemów ofiary. W najnowszych kampaniach operatorzy koncentrują się na kancelariach prawnych, wykorzystując socjotechnikę, podszywanie się pod pracowników wsparcia IT oraz w wybranych przypadkach także próbę uzyskania fizycznego dostępu do urządzeń.

To istotna zmiana w krajobrazie zagrożeń. Atakujący nie muszą dziś blokować działania infrastruktury, aby wywrzeć silną presję na organizacji. Wystarczy przejąć wrażliwe informacje i zagrozić ich ujawnieniem, sprzedażą lub wykorzystaniem w dalszych działaniach wymuszeniowych.

W skrócie

Grupa znana również jako Luna Moth, Chatty Spider i UNC3753 prowadzi kampanie wymierzone w podmioty przetwarzające dane o wysokiej wartości biznesowej i reputacyjnej. W przypadku kancelarii prawnych kluczowym celem są dokumenty objęte tajemnicą zawodową, materiały procesowe, dane klientów oraz informacje dotyczące transakcji i sporów.

atak rozpoczyna się zwykle od telefonu lub wiadomości e-mail podszywającej się pod wsparcie techniczne,
celem jest nakłonienie ofiary do uruchomienia sesji zdalnej lub wykonania określonych czynności,
po uzyskaniu dostępu napastnicy koncentrują się na szybkiej eksfiltracji danych,
w części przypadków pojawia się także element fizycznego dostępu do komputera ofiary.

Kontekst / historia

Silent Ransom Group jest obserwowana od kilku lat i wcześniej była łączona z kampaniami uderzającymi w różne branże, w tym sektor finansowy, ubezpieczeniowy i ochronę zdrowia. Model działania tej grupy ewoluował od szerzej zakrojonych oszustw socjotechnicznych do bardziej precyzyjnych operacji ukierunkowanych na konkretne organizacje i konkretne typy danych.

Kancelarie prawne są szczególnie atrakcyjnym celem. Przechowują duże wolumeny informacji poufnych, a jednocześnie działają pod presją terminów, zobowiązań kontraktowych oraz wymogów zachowania tajemnicy zawodowej. Dla przestępców oznacza to większą szansę na skuteczne wymuszenie i szybszą reakcję ofiary na groźbę publikacji danych.

Analiza techniczna

Techniczny rdzeń kampanii nie opiera się na zaawansowanych exploitach, lecz na skutecznym obchodzeniu procedur bezpieczeństwa przy użyciu manipulacji użytkownikiem. Atakujący podają się za personel IT i próbują przekonać pracownika do uruchomienia narzędzia zdalnego dostępu, wykonania określonej konfiguracji albo zaakceptowania rzekomej czynności serwisowej.

Po przejęciu dostępu działania są ograniczane do minimum niezbędnego do rozpoznania zasobów i kopiowania danych. Zamiast wdrażać malware o wysokiej wykrywalności, sprawcy chętnie sięgają po legalne narzędzia administracyjne i aplikacje używane do transferu plików. W opisywanych kampaniach wskazywano m.in. WinSCP oraz ukryte lub zmodyfikowane instancje Rclone, które umożliwiają przesyłanie danych do usług chmurowych i zewnętrznych repozytoriów.

Najbardziej niepokojącym elementem jest scenariusz, w którym sprawca lub współpracownik grupy pojawia się fizycznie w lokalizacji ofiary. Pod pretekstem kopii zapasowej, działań serwisowych albo reakcji na incydent phishingowy może próbować uzyskać dostęp do stacji roboczej i podłączyć nośnik zewnętrzny w celu lokalnego skopiowania danych. Taka technika ogranicza widoczność ruchu sieciowego i może utrudnić detekcję przez standardowe mechanizmy bezpieczeństwa.

Model ten wpisuje się w trend data theft extortion, czyli wymuszeń opartych na eksfiltracji danych bez etapu szyfrowania. Z perspektywy obrony to poważne wyzwanie, ponieważ brak masowego szyfrowania plików oznacza mniej oczywistych objawów incydentu, a użycie legalnych narzędzi utrudnia wykrywanie oparte wyłącznie na sygnaturach złośliwego oprogramowania.

Konsekwencje / ryzyko

Dla kancelarii prawnych skutki takiego ataku mogą być wyjątkowo dotkliwe. Najpoważniejsze ryzyka obejmują utratę poufności danych klientów, naruszenie tajemnicy zawodowej, ujawnienie strategii procesowych, ekspozycję dokumentów korporacyjnych oraz potencjalne konsekwencje regulacyjne związane z ochroną danych osobowych.

Istotne jest również ryzyko operacyjne i reputacyjne. Nawet jeśli infrastruktura nie zostanie zaszyfrowana, sama groźba upublicznienia dokumentów może sparaliżować pracę organizacji, wpłynąć na relacje z klientami i uruchomić kosztowne procedury kryzysowe. Dodatkowo telefoniczne naciski na pracowników lub klientów po eksfiltracji danych mogą zwiększać presję psychologiczną i eskalować skalę zdarzenia.

utrata kontroli nad dokumentacją objętą tajemnicą zawodową,
ryzyko naruszeń regulacyjnych i obowiązków notyfikacyjnych,
poważne straty reputacyjne i utrata zaufania klientów,
trudniejsza detekcja incydentu ze względu na brak klasycznego szyfrowania,
połączenie zagrożenia cybernetycznego i fizycznego.

Rekomendacje

Organizacje z sektora prawnego powinny traktować ten typ kampanii jako połączenie ryzyka cyfrowego, proceduralnego i fizycznego. Kluczowe znaczenie ma rygorystyczna weryfikacja tożsamości każdej osoby podającej się za pracownika IT, niezależnie od tego, czy kontakt odbywa się telefonicznie, mailowo czy osobiście.

W praktyce warto wdrożyć zestaw środków ograniczających zarówno możliwość przejęcia dostępu, jak i skutecznej eksfiltracji danych:

stosowanie phishing-resistant MFA wszędzie tam, gdzie to możliwe,
ograniczenie i ścisłą kontrolę narzędzi zdalnego wsparcia,
blokowanie lub silne ograniczanie użycia nośników USB na stacjach z dostępem do danych wrażliwych,
monitorowanie uruchomień narzędzi takich jak Rclone, WinSCP i podobnych aplikacji transferowych,
wykrywanie połączeń do niezaufanych usług przechowywania danych i nietypowych kanałów eksfiltracji,
szkolenia personelu z rozpoznawania scenariuszy podszywania się pod helpdesk,
integrację procedur SOC z ochroną fizyczną, recepcją i personelem administracyjnym,
przygotowanie playbooków reagowania na incydenty bez szyfrowania, skoncentrowanych na kradzieży danych.

Dodatkowo warto regularnie analizować logi endpointów, systemów IAM i narzędzi EDR pod kątem nieautoryzowanych sesji zdalnych, nowych instalacji aplikacji administracyjnych oraz prób użycia pamięci masowych. W środowiskach o wysokiej wrażliwości danych uzasadnione jest także wdrożenie rozwiązań DLP oraz segmentacji dostępu do repozytoriów dokumentów.

Podsumowanie

Kampania Silent Ransom Group pokazuje, że współczesne wymuszenia nie wymagają szyfrowania infrastruktury, aby były skuteczne. Kradzież danych, presja reputacyjna i dobrze przygotowana socjotechnika wystarczą, by znacząco zwiększyć ryzyko biznesowe ofiary.

Szczególnie alarmujący jest element fizycznego pojawiania się sprawców w siedzibie organizacji, ponieważ rozszerza on model zagrożenia poza klasyczne granice cyberbezpieczeństwa. Dla kancelarii prawnych oznacza to konieczność spójnego podejścia do ochrony danych, kontroli tożsamości użytkowników, monitoringu eksfiltracji i bezpieczeństwa fizycznego.

Źródła

Dark Reading: https://www.darkreading.com/cyberattacks-data-breaches/ransomware-actors-steal-law-firm-data
FBI Internet Crime Complaint Center: https://www.ic3.gov/
Halcyon Ransomware Research Center: https://www.halcyon.ai/
Verizon Data Breach Investigations Report 2026: https://www.verizon.com/business/resources/reports/dbir/

19,6 miliarda plików publicznie dostępnych w chmurze bez uwierzytelnienia. Skala błędnych konfiguracji rośnie

Wprowadzenie do problemu / definicja

Błędna konfiguracja zasobów chmurowych pozostaje jednym z najpoważniejszych i jednocześnie najczęściej bagatelizowanych problemów bezpieczeństwa. Nie chodzi tu o nową podatność typu zero-day ani wyrafinowany atak, lecz o sytuację, w której zasoby przechowywane w chmurze — takie jak buckety obiektowe, backupy czy eksporty baz danych — są udostępnione publicznie bez wymaganego uwierzytelnienia.

Najnowsze ustalenia badaczy pokazują, że skala zjawiska jest ogromna. Miliardy plików przechowywanych w publicznie listowalnych bucketach mogą być przeglądane bez hasła, bez obchodzenia zabezpieczeń i bez konieczności przełamywania jakichkolwiek mechanizmów ochronnych.

W skrócie

Analiza objęła ponad 535 tysięcy publicznie listowalnych bucketów w głównych środowiskach chmurowych. Łącznie oszacowano, że zawierają one około 19,6 miliarda plików dostępnych bez uwierzytelnienia. Wśród nich znalazły się setki tysięcy plików z poświadczeniami, niemal milion eksportów SQL oraz setki tysięcy kopii zapasowych.

ponad 535 tys. publicznie listowalnych bucketów,
około 19,6 mld plików dostępnych bez logowania,
685 047 plików z poświadczeniami i kluczami,
985 645 plików .sql,
733 040 plików .bak.

Problem nie wynika z luki w samych platformach chmurowych, lecz z niewłaściwej konfiguracji dostępu, błędów operacyjnych oraz nieprawidłowego przechowywania sekretów.

Kontekst / historia

Publiczne ekspozycje bucketów nie są nowym zjawiskiem. Od lat organizacje przypadkowo ujawniają repozytoria obiektowe zawierające dane klientów, pliki aplikacyjne, logi, backupy i dokumentację wewnętrzną. Jednak wraz z rozwojem środowisk cloud-native problem urósł do niespotykanej wcześniej skali.

Nowoczesne środowiska wytwarzają ogromne ilości artefaktów: obrazy, logi, eksporty baz, pliki tymczasowe, archiwa czy konfiguracje. Każdy z tych elementów może zostać zapisany w pamięci obiektowej, a pojedynczy błąd w polityce dostępu wystarczy, by zasób stał się publicznie osiągalny.

Szczególnie niebezpieczne jest to, że wiele organizacji traktuje storage obiektowy jako zaplecze techniczne, które nie podlega tak ścisłej kontroli jak systemy produkcyjne. W efekcie do bucketów trafiają pliki .env, snapshoty środowisk testowych, archiwa baz danych i automatycznie generowane kopie bezpieczeństwa.

Analiza techniczna

Według opublikowanych ustaleń badacze przeanalizowali w marcu 2026 roku metadane bucketów w usługach Amazon S3, Google Cloud, Microsoft Azure, DigitalOcean i Alibaba Cloud. Co istotne, analiza nie wymagała pobierania zawartości plików. Już same nazwy i typy plików pozwoliły zidentyfikować materiały o bardzo wysokiej wrażliwości.

Na szczególną uwagę zasługują pliki z sekretami. Wśród ujawnionych danych znalazły się pliki .env, klucze prywatne oraz bazy haseł. Z perspektywy napastnika są to zasoby o najwyższej wartości, ponieważ umożliwiają przejście od biernej obserwacji do aktywnej kompromitacji środowiska.

Drugą krytyczną kategorią są eksporty i kopie baz danych. Pliki .sql i .bak mogą zawierać pełne zbiory rekordów, pozbawione zabezpieczeń obecnych w aplikacji, takich jak uwierzytelnianie, autoryzacja czy kontrola logiki biznesowej. Oznacza to, że po ich pobraniu możliwa jest szczegółowa analiza danych offline.

Badacze zwrócili również uwagę na nazewnictwo plików. Wiele z nich zawierało frazy takie jak „secret”, „salary”, „kyc” czy „credentials”, a nazwy związane z hasłami, paszportami, fakturami i backupami występowały na masową skalę. To wskazuje, że problem obejmuje nie tylko zasoby techniczne, ale również dane osobowe, dokumenty finansowe i materiały związane z compliance.

Najgroźniejszy jest efekt łańcuchowy. Otwarty bucket może jednocześnie zawierać plik .env z poświadczeniami oraz eksport SQL tej samej aplikacji. To daje napastnikowi możliwość zarówno szybkiego dostępu do środowiska, jak i długoterminowego wykorzystania wykradzionych danych do phishingu, przejęć kont czy oszustw biznesowych.

Konsekwencje / ryzyko

Ryzyko związane z publicznie dostępnymi bucketami jest wielowymiarowe. Organizacja może utracić poufność danych klientów, pracowników i partnerów, a ujawnienie sekretów aplikacyjnych może doprowadzić do wtórnej kompromitacji infrastruktury chmurowej i kont uprzywilejowanych.

przejęcie kont i usług dzięki ujawnionym kluczom oraz tokenom,
eskalacja uprawnień w środowisku chmurowym,
wycieki danych osobowych i regulacyjnych,
ataki ransomware poprzedzone rozpoznaniem z użyciem publicznych backupów,
oszustwa finansowe i phishing ukierunkowany,
sankcje regulacyjne oraz wysokie koszty obsługi incydentu.

Wysoki poziom zagrożenia wynika z faktu, że mamy do czynienia z ekspozycją pasywną. Napastnik nie musi stosować exploita ani złośliwego oprogramowania. Jeśli zasób jest publicznie listowalny, może zostać odnaleziony, zautomatyzowanie przeskanowany i masowo wykorzystany.

Rekomendacje

Organizacje powinny traktować błędną konfigurację storage’u jako problem architektoniczny, a nie pojedynczą pomyłkę administratora. Skuteczna obrona wymaga połączenia polityk organizacyjnych, automatyzacji i ciągłego monitoringu.

wymuszenie domyślnej prywatności wszystkich bucketów i blokady publicznego listowania,
zakaz przechowywania sekretów w pamięci obiektowej bez odpowiedniego szyfrowania i ścisłej kontroli dostępu,
automatyczne skanowanie bucketów pod kątem plików .env, kluczy prywatnych, dumpów SQL i backupów,
regularny audyt uprawnień IAM, ACL i polityk bucketów,
szyfrowanie kopii zapasowych oraz ich separacja od zasobów publicznie osiągalnych,
wdrożenie mechanizmów CSPM do ciągłego wykrywania błędnych konfiguracji,
przegląd pipeline’ów CI/CD i skryptów automatyzacji pod kątem niekontrolowanego zapisu artefaktów,
rotacja wszystkich poświadczeń, które mogły zostać ujawnione, nawet przy braku potwierdzonego nadużycia,
ograniczenie retencji danych i minimalizacja zbieranych informacji,
wymuszenie MFA dla kont administracyjnych i usług krytycznych.

Z perspektywy użytkownika końcowego podstawą pozostaje stosowanie unikalnych haseł dla każdej usługi oraz aktywacja uwierzytelniania wieloskładnikowego. Nawet jeśli dane zostaną ujawnione przez dostawcę lub partnera, ogranicza to ryzyko dalszego nadużycia poświadczeń.

Podsumowanie

Ekspozycja 19,6 miliarda plików w publicznie dostępnych bucketach pokazuje, że jednym z największych zagrożeń dla bezpieczeństwa chmury nadal nie są wyłącznie nowe podatności, lecz dobrze znane błędy konfiguracyjne. Problem obejmuje nie tylko dane archiwalne, ale również aktywne sekrety, backupy i eksporty baz danych, które mogą prowadzić do pełnej kompromitacji organizacji.

W środowiskach wielochmurowych i silnie zautomatyzowanych kontrola nad storage’em musi być ciągła, centralnie egzekwowana i wspierana politykami bezpieczeństwa. W przeciwnym razie pojedyncza błędna flaga dostępu może zamienić zwykły bucket w gotowy zestaw narzędzi dla atakującego.

Źródła

Security Affairs – 19.6 Billion Files Are Sitting Open on the Internet. No Password Required — https://securityaffairs.com/192787/security/19-6-billion-files-are-sitting-open-on-the-internet-no-password-required.html
Mysterium VPN Report – 19.6 billion files exposed across publicly listable cloud buckets — https://www.mysteriumvpn.com/blog/19-6-billion-files-open-on-the-internet
Amazon Web Services – Blocking public access to Amazon S3 storage — https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html
Google Cloud – IAM and access control for Cloud Storage — https://cloud.google.com/storage/docs/access-control
Microsoft Learn – Secure access to Azure Storage — https://learn.microsoft.com/azure/storage/common/security-recommendations

Microsoft i Resecurity uderzają w Fox Tempest, czyli ekosystem podpisywania malware jako usługi

Wprowadzenie do problemu / definicja

Podpisywanie kodu odgrywa kluczową rolę w budowaniu zaufania do oprogramowania. Mechanizm ten ma potwierdzać autentyczność pliku oraz integralność jego zawartości, dzięki czemu użytkownik, system operacyjny i narzędzia bezpieczeństwa mogą traktować aplikację jako pochodzącą z wiarygodnego źródła. Problem pojawia się wtedy, gdy cyberprzestępcy uzyskują certyfikaty w sposób nieuprawniony albo wykorzystują infrastrukturę, która pozwala nadawać złośliwym plikom pozory legalności.

Właśnie taki model miał funkcjonować w przypadku Fox Tempest, podmiotu opisywanego jako dostawca usługi malware-signing-as-a-service. Według ujawnionych informacji Microsoft Digital Crimes Unit przy wsparciu Resecurity przeprowadził operację wymierzoną w ten ekosystem, aby ograniczyć możliwość podpisywania złośliwego oprogramowania certyfikatami budzącymi zaufanie.

W skrócie

Fox Tempest miał świadczyć usługi wspierające podpisywanie malware, co ułatwiało innym grupom przestępczym dystrybucję złośliwych plików. W ramach działań operacyjnych przejęto wskazaną infrastrukturę, wyłączono setki maszyn wirtualnych oraz cofnięto ponad tysiąc certyfikatów powiązanych z tym ekosystemem.

Microsoft DCU i Resecurity zakłóciły działanie zaplecza Fox Tempest.
Operacja objęła zarówno działania prawne, jak i techniczne.
Usługa była łączona z kampaniami ransomware i stealerów.
Celem było ograniczenie nadużyć związanych z zaufaniem do podpisanego kodu.

Kontekst / historia

Cyberprzestępczość od lat rozwija się w modelu usługowym. Obok operatorów ransomware, brokerów dostępu początkowego i dostawców infrastruktury odpornej na zgłoszenia pojawiły się wyspecjalizowane podmioty wspierające konkretne etapy ataku. Jednym z takich segmentów jest właśnie podpisywanie złośliwego kodu.

Fox Tempest nie był opisywany jako klasyczna grupa prowadząca szeroko zakrojone kampanie przeciw ofiarom końcowym. Jego rola miała polegać na dostarczaniu zaplecza, które umożliwiało innym przestępcom opatrywanie malware podpisami zwiększającymi wiarygodność plików. Taki model obniża próg wejścia dla afiliantów ransomware i operatorów stealerów, ponieważ nie muszą oni samodzielnie budować infrastruktury ani pozyskiwać certyfikatów.

Z dostępnych informacji wynika również, że sprawa została skierowana do sądu federalnego w Stanach Zjednoczonych. To pokazuje, że podobne operacje wymagają jednoczesnego wykorzystania narzędzi prawnych, technicznych i międzynarodowej współpracy pomiędzy firmami prywatnymi a organami ścigania.

Analiza techniczna

Istotą działalności przypisywanej Fox Tempest było nadużywanie mechanizmów zaufania związanych z podpisywaniem kodu. Podpis cyfrowy może zmniejszać podejrzliwość użytkownika, a w niektórych scenariuszach wpływać także na sposób traktowania pliku przez systemy ochronne i mechanizmy reputacyjne.

Podpisany plik wykonywalny lub instalator częściej wygląda na legalny, szczególnie gdy podszywa się pod aktualizację, narzędzie administracyjne albo komponent systemowy. W praktyce zwiększa to szansę, że ofiara uruchomi próbkę bez dodatkowej weryfikacji. Jednocześnie część środowisk bezpieczeństwa może uznać podpis za silny sygnał zaufania, jeśli nie jest on analizowany w szerszym kontekście.

Według ujawnionych informacji infrastruktura Fox Tempest obejmowała serwis wykorzystywany do świadczenia usługi, liczne maszyny wirtualne oraz komponenty odpowiedzialne za obsługę procesu podpisywania. Dlatego działania obronne nie ograniczyły się do zablokowania pojedynczego adresu czy panelu, lecz objęły rozbicie całego zaplecza operacyjnego. Wyłączenie setek maszyn wirtualnych i cofnięcie dużej liczby certyfikatów uderza zarówno w dostępność usługi, jak i w jej zdolność do dalszego generowania wiarygodnie wyglądających podpisów.

Microsoft powiązał ten ekosystem z wieloma rodzinami zagrożeń, w tym z ransomware oraz malware typu stealer. To ważny sygnał dla obrońców, ponieważ pokazuje, że podpisywanie malware nie jest marginalnym dodatkiem, lecz jednym z elementów zwiększających skuteczność całego łańcucha ataku.

Konsekwencje / ryzyko

Dla organizacji oznacza to podważenie jednego z podstawowych założeń bezpieczeństwa, czyli zaufania do podpisanego kodu. Jeśli złośliwe oprogramowanie posiada wiarygodnie wyglądający podpis, użytkownik może uznać je za legalne, a zespół bezpieczeństwa może otrzymać mniej oczywistych sygnałów ostrzegawczych na wczesnym etapie analizy.

W praktyce zwiększa to skuteczność kampanii phishingowych i malware delivery, podnosi prawdopodobieństwo uruchomienia próbki oraz może ułatwiać obchodzenie części zabezpieczeń opartych na reputacji plików. Szczególnie narażone są te środowiska, które traktują podpis cyfrowy jako samodzielny dowód zaufania i nie korelują go z pochodzeniem pliku, telemetrią EDR, zachowaniem procesu czy analizą łańcucha certyfikacji.

Choć rozbicie infrastruktury Fox Tempest istotnie utrudnia działalność przestępczą, nie oznacza całkowitego końca problemu. Rynek cyberprzestępczy jest elastyczny, a podobne usługi mogą zostać odtworzone pod inną nazwą, na nowej infrastrukturze lub z użyciem innych metod pozyskiwania certyfikatów.

Rekomendacje

Organizacje powinny traktować podpis cyfrowy jako jeden z elementów oceny zaufania, a nie jako ostateczny dowód bezpieczeństwa. Skuteczna weryfikacja wymaga korelowania statusu podpisu z reputacją wydawcy, kontekstem dostarczenia pliku, miejscem uruchomienia oraz telemetrią z systemów EDR, XDR i SIEM.

Warto rozwijać polityki allowlistingu aplikacji w oparciu nie tylko o obecność podpisu, ale również o zaufanych wydawców, skróty plików, ścieżki uruchomienia i kontrolę pochodzenia artefaktów. Z perspektywy SOC ważne jest też monitorowanie nowych lub rzadko spotykanych certyfikatów oraz nagłych zmian wydawcy w uruchamianych plikach.

aktualizacja reguł detekcyjnych pod kątem podpisanego malware;
monitorowanie informacji o cofniętych certyfikatach i uwzględnianie ich w politykach bezpieczeństwa;
wzmocnienie kontroli pobierania i uruchamiania plików z internetu;
szkolenie użytkowników, że obecność podpisu nie gwarantuje legalności programu;
integracja informacji o zagrożeniach z huntingiem oraz blokowaniem IOC i TTP.

Dobrym kierunkiem pozostaje także regularny przegląd zaufanych certyfikatów i wydawców w środowisku organizacji, zwłaszcza tam, gdzie dopuszcza się automatyczne uruchamianie podpisanych binariów.

Podsumowanie

Sprawa Fox Tempest dobrze ilustruje, jak bardzo dojrzały i wyspecjalizowany stał się współczesny ekosystem cyberprzestępczy. Podpisywanie malware funkcjonuje już nie jako incydentalna technika, lecz jako usługa wspierająca operatorów ransomware, stealerów i inne grupy atakujące organizacje na całym świecie.

Działania Microsoft DCU i partnerów uderzają w ważny element tego łańcucha, ograniczając możliwość nadawania złośliwym plikom pozorów legalności. Dla obrońców najważniejszy wniosek pozostaje niezmienny: podpis cyfrowy nie może być jedynym kryterium zaufania, a skuteczna obrona wymaga analizy kontekstu, zachowania i telemetrii.

Źródła

Security Affairs — https://securityaffairs.com/192818/security/resecurity-supports-microsoft-dcu-in-disrupting-fox-tempest-cybercriminal-code-signing-ecosystem.html
Microsoft — Disrupting malware-signing abuse: a court-authorized takedown of Fox Tempest — https://www.microsoft.com/en-us/security/blog/
Resecurity — Company statement and research context — https://www.resecurity.com/

CVE-2026-35616 w FortiClient EMS aktywnie wykorzystywana do wdrażania malware

Wprowadzenie do problemu / definicja

CVE-2026-35616 to krytyczna podatność typu improper access control w FortiClient Endpoint Management Server (EMS), umożliwiająca zdalne wykonanie nieautoryzowanego kodu lub poleceń bez uwierzytelnienia. Ze względu na centralną rolę EMS w zarządzaniu stacjami końcowymi, skutki skutecznego ataku mogą wykraczać daleko poza kompromitację pojedynczego serwera.

W praktyce oznacza to, że atakujący może przejąć zaufany kanał administracyjny i wykorzystać go do działań obejmujących wiele zarządzanych urządzeń jednocześnie. To właśnie ten aspekt sprawia, że omawiana luka stanowi zagrożenie o wysokim priorytecie operacyjnym.

W skrócie

Podatność dotyczy FortiClient EMS w wersjach 7.4.5 i 7.4.6.
Luka została sklasyfikowana jako krytyczna i była aktywnie wykorzystywana w rzeczywistych atakach.
Napastnicy mieli używać serwera EMS do dystrybucji fałszywej poprawki podszywającej się pod aktualizację Fortinet.
Ładunkiem końcowym był EKZ Infostealer, malware ukierunkowany na kradzież danych uwierzytelniających.
Ryzyko obejmuje zarówno przejęcie kontroli nad środowiskiem endpointów, jak i późniejszą eskalację incydentu z użyciem skradzionych poświadczeń.

Kontekst / historia

Fortinet udostępnił poprawki poza standardowym cyklem aktualizacji na początku kwietnia 2026 roku, jednocześnie potwierdzając aktywne wykorzystanie luki w środowiskach produkcyjnych. To ważny sygnał, ponieważ publikacja awaryjnych poprawek zwykle wskazuje na wysokie prawdopodobieństwo dalszych kampanii ataków.

Sprawa szybko zyskała dodatkową wagę po uwzględnieniu CVE-2026-35616 w katalogu Known Exploited Vulnerabilities prowadzonym przez CISA. W praktyce wpis do KEV oznacza, że organizacje powinny potraktować podatność jako pilny problem bezpieczeństwa wymagający natychmiastowych działań naprawczych.

W kolejnych analizach badacze wskazali, że atakujący nie poprzestawali na samym dostępie do serwera EMS. Zamiast tego wykorzystywali mechanizmy platformy do dalszego rozsyłania złośliwych poleceń i komponentów na zarządzane stacje końcowe, co znacząco zwiększało skalę potencjalnych szkód.

Analiza techniczna

Źródłem problemu jest niewłaściwa kontrola dostępu w interfejsach FortiClient EMS. Specjalnie przygotowane żądania HTTP kierowane do określonych endpointów aplikacji mogą zostać obsłużone tak, jakby pochodziły od legalnie uwierzytelnionego administratora.

Skutkiem jest możliwość pominięcia mechanizmów uwierzytelniania i wykonywania operacji administracyjnych bez posiadania prawidłowych poświadczeń. W zależności od scenariusza atakujący może uruchamiać polecenia lub kod na poziomie serwera EMS, a następnie wykorzystywać natywne funkcje zarządzania do dalszej aktywności w środowisku.

W opisywanej kampanii serwer EMS miał służyć do dystrybucji fałszywej poprawki Fortinet uruchamianej przez PowerShell. Finalnym ładunkiem był EKZ Infostealer, którego zadaniem była kradzież danych uwierzytelniających zapisanych w przeglądarkach, między innymi w Chrome i Firefox, a następnie ich zapis lokalny i eksfiltracja przez HTTP.

Technicznie jest to szczególnie groźne połączenie dwóch elementów: kompromitacji centralnego systemu zarządzania oraz użycia zaufanej infrastruktury do wdrażania malware na wielu hostach jednocześnie. Atak nie wymaga więc osobnej kompromitacji każdej stacji roboczej, ponieważ przejęte funkcje EMS mogą stać się narzędziem masowej dystrybucji złośliwego oprogramowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest centralizacja ryzyka. Jedna luka w systemie zarządzania endpointami może przełożyć się na jednoczesne narażenie całej populacji urządzeń podłączonych do EMS, co otwiera drogę do wdrożenia infostealera, backdoora, a nawet ransomware na dużą skalę.

Istotnym zagrożeniem pozostaje także kradzież poświadczeń użytkowników i administratorów. Dane uwierzytelniające przejęte z przeglądarek mogą zostać później wykorzystane do dalszych ataków na pocztę, sieci VPN, usługi SaaS, środowiska chmurowe oraz panele administracyjne.

Dla organizacji regulowanych oznacza to również ryzyko naruszenia poufności danych, przestojów operacyjnych, kosztów reagowania incydentowego i potencjalnych obowiązków notyfikacyjnych. Jeśli EMS działa w segmencie o szerokiej łączności i wysokich uprawnieniach, wpływ incydentu może być szczególnie dotkliwy.

Rekomendacje

Najważniejszym krokiem jest natychmiastowe wdrożenie poprawek lub hotfixów dostarczonych przez producenta dla podatnych wersji FortiClient EMS. Organizacje korzystające z wersji 7.4.5 i 7.4.6 powinny traktować aktualizację jako działanie awaryjne.

Równolegle należy przeprowadzić aktywne polowanie na oznaki kompromitacji. Warto przeanalizować logi HTTP i logi aplikacyjne EMS pod kątem nietypowych żądań do endpointów administracyjnych, nieautoryzowanych zmian konfiguracji, niestandardowych zadań PowerShell oraz nagłych akcji dystrybucji aktualizacji do wielu hostów.

Po stronie endpointów zalecane jest sprawdzenie artefaktów mogących wskazywać na obecność infostealera, w tym podejrzanych uruchomień PowerShell, plików wykonywalnych podszywających się pod poprawki, nowych logów zawierających dane uwierzytelniające oraz nietypowego ruchu HTTP po wdrożeniu aktualizacji. W środowiskach podwyższonego ryzyka zasadne może być również wymuszenie resetu haseł użytkowników, których urządzenia mogły zostać objęte kampanią.

Dodatkowo warto ograniczyć powierzchnię ataku poprzez segmentację serwera EMS, zawężenie dostępu administracyjnego do zaufanych sieci, monitorowanie zmian konfiguracji oraz wdrożenie reguł detekcyjnych dla nietypowego użycia mechanizmów zdalnego zarządzania. W przypadku podejrzenia naruszenia bezpieczeństwa należy potraktować wszystkie urządzenia zarządzane przez EMS jako potencjalnie narażone.

Podsumowanie

CVE-2026-35616 pokazuje, jak groźne mogą być podatności w platformach centralnego zarządzania bezpieczeństwem endpointów. W tym przypadku problem nie ogranicza się do zdalnego wykonania kodu na pojedynczym serwerze, lecz obejmuje możliwość przejęcia zaufanego kanału administracyjnego i użycia go do szerokiej dystrybucji malware w organizacji.

Z uwagi na potwierdzone wykorzystanie w atakach, obecność w katalogu KEV oraz powiązanie z kampanią wykorzystującą EKZ Infostealer, luka powinna być traktowana jako zagrożenie najwyższego priorytetu. Szybkie patchowanie, walidacja integralności środowiska i przegląd oznak kompromitacji są w tym przypadku kluczowe.

Źródła

Security Affairs — https://securityaffairs.com/192817/malware/cve-2026-35616-forticlient-ems-flaw-actively-exploited-in-malware-attacks.html
FortiGuard PSIRT: FG-IR-26-099 — https://fortiguard.fortinet.com/psirt/FG-IR-26-099
Arctic Wolf — FortiClient EMS Exploited via CVE-2026-35616 to Deliver EKZ Infostealer Disguised as a Fortinet Patch — https://arcticwolf.com/resources/blog/forticlient-ems-exploited-via-cve-2026-35616-to-deliver-ekz-infostealer-disguised-as-a-fortinet-patch/
NVD — CVE-2026-35616 — https://nvd.nist.gov/vuln/detail/CVE-2026-35616
CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-35616

Rumuński cyberprzestępca skazany za włamanie do sieci rządowej Oregonu

Wprowadzenie do problemu / definicja

Nieautoryzowany dostęp do sieci instytucji publicznych i późniejsza odsprzedaż takiego dostępu innym przestępcom to jeden z najgroźniejszych modeli współczesnej cyberprzestępczości. Tego typu incydenty łączą klasyczne włamanie z handlem dostępem, naruszeniem danych osobowych oraz ryzykiem dalszych operacji, takich jak ransomware, kradzież tożsamości czy ataki na infrastrukturę administracji publicznej.

W skrócie

Obywatel Rumunii Catalin Dragomir został skazany w Stanach Zjednoczonych na 56 miesięcy więzienia za włamanie do sieci administracji stanowej Oregonu oraz sprzedaż dostępu do skompromitowanych systemów. Według ustaleń śledczych uzyskał on nieuprawniony dostęp do komputera działającego w sieci Oregon Department of Emergency Management w czerwcu 2021 roku, a następnie oferował ten dostęp potencjalnym nabywcom.

W toku procederu przekazał również próbki danych osobowych pochodzących z naruszonego urządzenia. Sprawa dobrze ilustruje znaczenie pośredników dostępowych w ekosystemie cyberprzestępczym oraz pokazuje, jak nawet pojedyncze włamanie może stać się punktem wyjścia do kolejnych ataków.

Kontekst / historia

Z dokumentów sądowych wynika, że incydent dotyczył infrastruktury jednostki odpowiedzialnej za zarządzanie kryzysowe w stanie Oregon. Atak miał miejsce w 2021 roku, czyli w czasie, gdy sektor publiczny w USA pozostawał jednym z najczęściej atakowanych celów ze względu na wartość operacyjną danych i znaczenie ciągłości działania usług publicznych.

Śledczy ustalili, że sprawca nie działał incydentalnie. Oprócz włamania do środowiska rządowego miał również sprzedawać dostęp do sieci niemal tuzina innych ofiar z terenu Stanów Zjednoczonych. Łączne straty związane z tym procederem oszacowano na co najmniej 250 tys. dolarów. Zatrzymanie podejrzanego w Rumunii nastąpiło w listopadzie 2024 roku, a jego ekstradycja do USA miała miejsce w styczniu 2025 roku.

Analiza techniczna

Z perspektywy technicznej sprawa wpisuje się w model initial access brokerage. W tym schemacie napastnik koncentruje się na zdobyciu i utrzymaniu dostępu do systemów ofiary, a następnie monetyzuje operację poprzez sprzedaż wejścia do sieci innym cyberprzestępcom.

Uzyskanie dostępu do komputera w chronionej sieci administracji publicznej mogło otwierać drogę do dalszej eskalacji uprawnień, ruchu lateralnego, rozpoznania zasobów domenowych, pozyskania poświadczeń oraz identyfikacji systemów o wysokiej wartości. Szczególnie istotne jest to, że podczas sprzedaży dostępu przekazano próbki danych osobowych, w tym imiona i nazwiska, adresy e-mail, daty urodzenia oraz numery paszportów.

Tego rodzaju dane pełnią podwójną rolę: potwierdzają kupującemu wartość skompromitowanego środowiska, a jednocześnie mogą zostać wykorzystane w dalszych operacjach socjotechnicznych, kampaniach spear phishingowych lub nadużyciach tożsamościowych. W praktyce sprzedaż gotowego dostępu znacząco obniża próg wejścia dla kolejnych aktorów zagrożeń, którzy nie muszą już samodzielnie przeprowadzać początkowej kompromitacji.

Konsekwencje / ryzyko

Dla organizacji publicznych i prywatnych takie incydenty oznaczają ryzyko wielowarstwowe. Po pierwsze dochodzi do naruszenia poufności danych, zwłaszcza gdy atakujący uzyskuje dostęp do informacji pozwalających na identyfikację osób fizycznych. Po drugie sprzedaż dostępu zwiększa prawdopodobieństwo kolejnych etapów ataku, w tym wdrożenia malware, eksfiltracji danych lub szyfrowania systemów.

W przypadku administracji publicznej stawka jest jeszcze wyższa. Zagrożona jest nie tylko prywatność obywateli, ale również ciągłość działania procesów krytycznych, zdolność reagowania kryzysowego oraz reputacja instytucji państwowych. Dane pochodzące z systemów rządowych mogą mieć wartość operacyjną i wywiadowczą, a ich ujawnienie może prowadzić do dalszych oszustw, podszywania się pod urzędników oraz prób obejścia zabezpieczeń proceduralnych.

Model brokerski jest również trudniejszy do wykrycia niż klasyczne wymuszenia ransomware. Zysk sprawcy może pochodzić wyłącznie z handlu dostępem i danymi, bez natychmiastowych, głośnych skutków po stronie ofiary. To sprawia, że organizacje mogą pozostawać skompromitowane przez dłuższy czas, nie mając świadomości, że ich infrastruktura została już wystawiona na sprzedaż.

Rekomendacje

Organizacje powinny traktować ochronę dostępu początkowego jako jeden z priorytetów strategii bezpieczeństwa. W praktyce oznacza to wdrożenie wieloskładnikowego uwierzytelniania, segmentacji sieci, ograniczania uprawnień lokalnych i administracyjnych oraz regularnej rotacji poświadczeń uprzywilejowanych.

Niezbędne jest także aktywne monitorowanie oznak ruchu lateralnego, nietypowych logowań, eksportu danych oraz wykorzystania narzędzi administracyjnych poza standardowymi wzorcami pracy. Szczególnej ochrony wymagają stacje robocze i serwery przechowujące dane osobowe, ponieważ to one często stają się źródłem materiału potwierdzającego wartość skompromitowanego dostępu.

prowadzenie pełnej inwentaryzacji zasobów i kont uprzywilejowanych,
centralizacja logów oraz korelacja zdarzeń w systemach SIEM,
wdrożenie rozwiązań EDR lub XDR do wykrywania podejrzanej aktywności na endpointach,
regularne przeglądy ekspozycji usług zdalnych,
testy odporności na phishing i kradzież poświadczeń,
procedury reagowania obejmujące izolację hosta, reset poświadczeń i analizę śladów eksfiltracji.

W sektorze publicznym ważna jest również ścisła współpraca z organami ścigania oraz gotowość do szybkiej wymiany informacji o incydentach. Skuteczna odpowiedź na naruszenie zależy nie tylko od technologii, ale także od przygotowanych procedur prawnych, komunikacyjnych i operacyjnych.

Podsumowanie

Skazanie rumuńskiego sprawcy za włamanie do sieci administracji Oregonu pokazuje, że sprzedaż dostępu do skompromitowanych środowisk pozostaje ważnym elementem współczesnego krajobrazu zagrożeń. Nawet pojedynczy punkt wejścia do sieci rządowej może zostać szybko przekształcony w produkt oferowany na przestępczym rynku, a następnie wykorzystany przez kolejnych aktorów do dalszych ataków.

Dla obrońców to wyraźny sygnał, że należy koncentrować się nie tylko na odpieraniu pełnoskalowych kampanii ransomware, ale również na możliwie wczesnym wykrywaniu subtelnych oznak naruszenia. Im wcześniej organizacja zidentyfikuje nieautoryzowany dostęp, tym mniejsze ryzyko, że stanie się on towarem w cyberprzestępczym obrocie.

Źródła

BleepingComputer — https://www.bleepingcomputer.com/news/security/romanian-gets-5-years-in-prison-for-hacking-oregon-govt-network/
U.S. Department of Justice — https://www.justice.gov/
DocumentCloud — Court Documents — https://www.documentcloud.org/