Archiwa: Ransomware - Strona 6 z 117

Gentlemen ransomware rozwija narzędzia do wyłączania EDR i zwiększa skuteczność ataków

Wprowadzenie do problemu / definicja

Grupa ransomware-as-a-service znana jako Gentlemen rozwija własny zestaw narzędzi do wyłączania rozwiązań EDR już na wczesnym etapie włamania. Tego rodzaju oprogramowanie, określane jako „EDR killer”, ma unieszkodliwić mechanizmy ochronne na stacjach roboczych i serwerach, aby operatorzy mogli swobodniej prowadzić kradzież danych, ruch boczny oraz szyfrowanie systemów.

To zjawisko pokazuje, że współczesne operacje ransomware nie kończą się na samym szyfratorze. Coraz częściej obejmują rozbudowane komponenty wspierające omijanie zabezpieczeń, eskalację uprawnień i obniżanie widoczności incydentu dla zespołów bezpieczeństwa.

W skrócie

Gentlemen utrzymuje i rozwija rodzinę narzędzi do wyłączania zabezpieczeń endpointowych.
Najważniejszym z nich jest GentleKiller, dostępny w wielu wariantach i podszywający się pod legalne aplikacje lub komponenty ochronne.
Narzędzia wykorzystują technikę BYOVD, czyli ładowanie podatnych sterowników w celu uzyskania uprawnień jądra.
Atakujący celują w setki procesów związanych z dziesiątkami dostawców bezpieczeństwa.
W kampaniach pojawiają się także dodatkowe komponenty, w tym narzędzia do kradzieży poświadczeń.

Kontekst / historia

Model RaaS od lat premiuje grupy, które potrafią dostarczyć partnerom nie tylko szyfrator, ale pełny zestaw narzędzi ofensywnych. Obejmuje to obejście ochrony, utrzymanie dostępu, kradzież danych i przygotowanie środowiska do wymuszenia. Gentlemen wpisuje się w ten trend, rozbudowując zaplecze techniczne wokół wyłączania EDR i utrudniania atrybucji.

Według opisywanych analiz operatorzy nie polegają na pojedynczym narzędziu. Zamiast tego rozwijają modułowy ekosystem, który można szybko dopasować do nowych podatnych sterowników lub do konkretnej konfiguracji środowiska ofiary. To podejście zwiększa odporność kampanii na blokowanie pojedynczych komponentów i przyspiesza adaptację do zmian po stronie obrońców.

Analiza techniczna

Kluczowym elementem operacji jest GentleKiller, autorskie narzędzie do dezaktywacji produktów bezpieczeństwa. Poszczególne warianty korzystają z różnych podatnych sterowników, ale zachowują wspólne cechy, takie jak podobna obfuskacja, zbliżona logika kończenia procesów oraz artefakty wskazujące na jednolite zaplecze deweloperskie.

Zastosowana technika BYOVD polega na dostarczeniu legalnie podpisanego, lecz podatnego sterownika, który po załadowaniu pozwala wykonywać operacje na poziomie jądra. W praktyce daje to możliwość kończenia procesów agentów EDR, antywirusów i innych mechanizmów ochronnych, które zazwyczaj są lepiej zabezpieczone przed ingerencją z poziomu użytkownika.

Analiza wskazuje, że GentleKiller może celować w ponad 400 procesów powiązanych z około 48 dostawcami i produktami bezpieczeństwa. Taki zakres targetowania sugeruje, że narzędzie zostało zaprojektowane z myślą o użyciu w zróżnicowanych środowiskach korporacyjnych, a nie przeciwko pojedynczym platformom ochronnym.

Dodatkowo próbki są zabezpieczane komercyjnymi mechanizmami pakowania i ochrony kodu, co utrudnia analizę statyczną i może opóźniać tworzenie skutecznych detekcji. Badacze odnotowali też wykorzystanie skradzionych, choć nieważnych, podpisów cyfrowych, co może wspierać kamuflaż i zwiększać wiarygodność binariów podczas wstępnej inspekcji.

Ekosystem Gentlemen nie ogranicza się do jednego narzędzia. W kampaniach zaobserwowano również użycie zewnętrznych EDR killerów, takich jak HexKiller, ThrottleBlood oraz HavocKiller. Taka redundancja pozwala zwiększyć skuteczność operacji, utrudnia atrybucję i umożliwia dobór odpowiedniego komponentu do konkretnej konfiguracji ochrony u ofiary.

W analizowanych działaniach pojawiło się także narzędzie do kradzieży poświadczeń napisane w Rust, określane jako OxideHarvest. Jego obecność wskazuje, że operatorzy prowadzą nie tylko szyfrowanie, ale również klasyczne działania poprzedzające wymuszenie, takie jak pozyskiwanie dostępu i eksfiltracja danych.

Konsekwencje / ryzyko

Największe ryzyko wynika z połączenia kilku elementów: eskalacji do poziomu jądra, szerokiego katalogu wspieranych celów oraz modułowej architektury umożliwiającej szybką wymianę podatnych sterowników. W praktyce oznacza to, że samo wdrożenie EDR nie gwarantuje odporności, jeśli środowisko dopuszcza uruchamianie nieautoryzowanych sterowników lub nie egzekwuje polityk ograniczających ładowanie komponentów kernel-mode.

Skuteczne wyłączenie EDR znacząco obniża widoczność incydentu. Atakujący zyskują więcej czasu na rekonesans, eskalację uprawnień, kradzież poświadczeń, ruch boczny i przygotowanie szyfrowania. To skraca czas reakcji SOC, zmniejsza skuteczność automatycznych mechanizmów detekcji i utrudnia analizę powłamaniową.

Dodatkowym problemem pozostaje elastyczność łańcucha ataku. Jeśli jedna metoda zostanie wykryta lub zablokowana, operatorzy mogą sięgnąć po alternatywny wariant GentleKiller albo po zewnętrzne narzędzie dające podobny efekt. Dla zespołów IR oznacza to wyższy próg trudności i konieczność obrony przed całym zestawem technik, a nie pojedynczym wskaźnikiem kompromitacji.

Rekomendacje

Organizacje powinny wdrożyć polityki ograniczające ładowanie sterowników oraz egzekwować kontrolę aplikacji na poziomie hosta. Szczególnie ważne jest blokowanie znanych podatnych sterowników oraz regularna aktualizacja list blokad dla mechanizmów ochrony jądra.

W środowiskach Windows warto zweryfikować konfigurację funkcji ograniczających nadużycia sterowników i wzmacniających integralność kodu. Należy także monitorować zdarzenia związane z instalacją nowych sterowników, nietypowymi operacjami na usługach bezpieczeństwa oraz próbami kończenia procesów należących do agentów EDR i AV.

Zespoły SOC powinny rozszerzyć reguły detekcyjne o wskaźniki związane z BYOVD, w tym uruchamianie rzadko spotykanych sterowników, podejrzane narzędzia podpisane nieważnymi certyfikatami oraz sekwencje działań wskazujące na szybkie wyłączanie wielu komponentów ochronnych. Istotne jest również korelowanie telemetrii z warstwy endpoint, systemów IAM i ruchu sieciowego, ponieważ sama telemetria EDR może zostać częściowo utracona.

Dobrym krokiem jest także testowanie odporności środowiska poprzez ćwiczenia purple teaming, symulacje ransomware oraz walidację reguł detekcyjnych pod kątem wyłączania agentów bezpieczeństwa. Organizacje powinny zakładać, że przeciwnik w pierwszej kolejności będzie próbował „oślepić” narzędzia ochronne, a dopiero później przejdzie do właściwego etapu wymuszenia.

Podsumowanie

Przypadek Gentlemen pokazuje, że współczesne operacje ransomware coraz częściej przypominają dojrzałe platformy ofensywne, a nie pojedyncze kampanie malware. Rozwój wielu wariantów EDR killerów, wykorzystanie BYOVD oraz integracja dodatkowych narzędzi do kradzieży poświadczeń wskazują na wysoki poziom specjalizacji i adaptacyjności.

Dla obrońców kluczowe staje się już nie tylko wykrywanie szyfratora, ale wcześniejsze identyfikowanie prób wyłączania ochrony, ładowania podatnych sterowników i degradacji widoczności w środowisku. To właśnie ten etap może dziś decydować o tym, czy atak zostanie zatrzymany przed przejściem do fazy wymuszenia.

Źródła

https://www.bleepingcomputer.com/news/security/gentlemen-ransomware-uses-multiple-edr-killers-to-disable-defenses/
https://www.welivesecurity.com/

Microsoft ujawnia kampanię clipper malware dla Windows rozprzestrzenianą przez USB i ukrywającą C2 w sieci Tor

Wprowadzenie do problemu / definicja

Microsoft opisał kampanię złośliwego oprogramowania typu clipper wymierzoną w użytkowników systemu Windows, której głównym celem jest kradzież środków powiązanych z kryptowalutami. Tego rodzaju malware monitoruje schowek systemowy i podmienia skopiowane adresy portfeli na adresy kontrolowane przez napastników, co może prowadzić do nieodwracalnej utraty aktywów cyfrowych.

W analizowanym przypadku zagrożenie wyróżnia się połączeniem kilku technik: propagacji przez nośniki USB, wykorzystania skrótów LNK, automatyzacji opartej o Windows Script Host i ActiveX oraz komunikacji z serwerem dowodzenia i kontroli ukrytym za pośrednictwem sieci Tor.

W skrócie

Kampania była obserwowana co najmniej od lutego 2026 roku i koncentruje się na kradzieży danych związanych z portfelami kryptowalut. Łańcuch infekcji rozpoczyna się od złośliwego pliku LNK dostarczanego przez urządzenia USB, po czym aktywowany jest komponent robaka odpowiedzialny za pobranie właściwego ładunku i dalszą replikację.

Wejście do systemu następuje przez złośliwy skrót LNK na nośniku USB.
Malware ukrywa legalne pliki i zastępuje je skrótami o tych samych nazwach.
Moduł clipper monitoruje schowek, przechwytuje frazy seed i klucze prywatne.
Komunikacja z C2 odbywa się przez lokalny proxy SOCKS5 i przenośnego klienta Tor.
Operator może dostarczać kod do wykonania, rozszerzając działanie malware o funkcje backdoora.

Kontekst / historia

Ataki wykorzystujące nośniki USB i skróty LNK od lat pozostają skutecznym narzędziem infekcji, szczególnie w środowiskach o ograniczonej kontroli urządzeń wymiennych. Mechanizm bazuje na socjotechnice: użytkownik widzi pozornie znajomy dokument lub folder i uruchamia skrót, który w rzeczywistości inicjuje szkodliwy kod.

Opisana kampania pokazuje ewolucję klasycznego robaka USB w bardziej elastyczne narzędzie finansowe. Dodanie ukrytej infrastruktury C2 opartej na Tor utrudnia analizę ruchu sieciowego, blokowanie komunikacji oraz identyfikację operatorów. To także przykład, jak relatywnie prosty malware clipper może zostać rozbudowany do platformy wspierającej dalsze operacje po uzyskaniu dostępu do stacji roboczej.

Analiza techniczna

Punkt wejścia stanowi złośliwy plik Windows Shortcut. Po jego uruchomieniu aktywowany jest komponent worm, który sprawdza stan infekcji hosta. Jeżeli urządzenie nie zostało wcześniej zainfekowane, pobierany jest zdalny payload, a następnie uruchamiane są kolejne etapy łańcucha ataku.

W części odpowiedzialnej za propagację malware skanuje nośnik USB pod kątem popularnych typów plików, takich jak dokumenty biurowe i PDF. Oryginalne pliki są ukrywane, a w ich miejsce tworzone są nowe skróty LNK o identycznych nazwach. Taki zabieg zwiększa skuteczność infekcji, ponieważ użytkownik zakłada, że otwiera właściwy plik.

Dla utrzymania trwałości malware tworzy zadania harmonogramu zarówno dla komponentu robaka, jak i dla modułu kradnącego dane. Sam clipper wykorzystuje WScript i obiekty ActiveX do interakcji z systemem. Według opisu kampanii sprawdza także aktywne procesy i kończy działanie po wykryciu Menedżera zadań, co wskazuje na prosty mechanizm antyanalityczny.

W końcowej fazie uruchamiany jest przemianowany klient Tor działający w ukrytym oknie. Malware generuje unikalny identyfikator ofiary, rejestruje go po stronie infrastruktury sterującej i przechodzi do pracy ciągłej. Pętla działania obejmuje okresowe odpytywanie C2 o polecenia oraz bardzo częste monitorowanie schowka, wykonywane mniej więcej co 500 milisekund.

Atakujący nie ograniczają się wyłącznie do podmiany adresów portfeli. Malware przechwytuje również frazy seed, klucze prywatne i wykonuje zrzuty ekranu, co pozwala uzyskać szerszy obraz działań ofiary. Jeżeli serwer C2 zwróci odpowiedź typu EVAL, szkodliwy kod może wykonać dodatkowe polecenia dostarczone dynamicznie, nadając kampanii cechy lekkiego backdoora.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem kampanii jest utrata środków kryptowalutowych przez podmianę adresu odbiorcy w momencie realizacji transakcji. To szczególnie groźny scenariusz, ponieważ użytkownik może nie zauważyć manipulacji, a transakcje blockchain z reguły są nieodwracalne.

Skala ryzyka jest jednak większa niż pojedyncza kradzież. Przechwycenie seed phrases, kluczy prywatnych i zrzutów ekranu może doprowadzić do pełnego przejęcia portfeli, kont giełdowych oraz innych zasobów finansowych. Dodatkowo możliwość wykonywania kodu zwróconego przez C2 oznacza, że operatorzy mogą rozbudować infekcję o kolejne moduły, takie jak stealer, narzędzia zdalnego dostępu lub komponenty przygotowujące grunt pod następne etapy ataku.

W środowiskach firmowych zagrożenie jest istotne zwłaszcza tam, gdzie dopuszczane są nośniki wymienne i gdzie użytkownicy pracują z aktywami cyfrowymi, procesami finansowymi lub danymi uwierzytelniającymi. Wykorzystanie Tor oraz mechanizmów skryptowych systemu Windows może też utrudniać wykrycie kampanii przez rozwiązania oparte wyłącznie na prostych sygnaturach.

Rekomendacje

Organizacje powinny w pierwszej kolejności ograniczyć lub całkowicie zablokować wykonywanie plików LNK z nośników wymiennych. Tam, gdzie to możliwe, warto wdrożyć polityki uniemożliwiające uruchamianie skrótów z urządzeń USB oraz wyłączyć AutoRun i AutoPlay dla wszystkich mediów wymiennych.

Równie ważne jest utwardzenie środowiska skryptowego. Użycie wscript.exe i cscript.exe powinno zostać zawężone do jasno uzasadnionych przypadków biznesowych, a ich nietypowe uruchomienia w powiązaniu z cmd.exe, PowerShell, curl lub nieznanymi binariami należy traktować jako zdarzenia wysokiego ryzyka.

Monitorować pojawianie się skrótów LNK o nazwach odpowiadających dokumentom.
Wykrywać ukrywanie oryginalnych plików na nośnikach USB.
Analizować częste odczyty schowka przez procesy skryptowe.
Śledzić tworzenie trwałości przez Scheduled Tasks.
Zwracać uwagę na ruch do lokalnego proxy SOCKS5 i oznaki uruchamiania binariów Tor.
Identyfikować nietypowe zrzuty ekranu inicjowane z poziomu skryptów lub PowerShell.

W organizacjach obsługujących kryptowaluty warto wdrożyć dodatkowe zabezpieczenia proceduralne, takie jak niezależna weryfikacja adresów portfeli, zasada czterech oczu przy większych transferach, korzystanie z zatwierdzonych książek adresowych oraz potwierdzanie transakcji kanałem out-of-band. Istotne pozostaje także szkolenie użytkowników, aby nie uruchamiali skrótów z nośników wymiennych i zawsze porównywali pełny adres odbiorcy przed zatwierdzeniem operacji.

Podsumowanie

Opisana przez Microsoft kampania pokazuje, że malware finansowe dla Windows staje się coraz bardziej modułowe, elastyczne i trudniejsze do wykrycia. Połączenie robaka USB opartego o LNK, monitorowania schowka, przechwytywania danych uwierzytelniających, eksfiltracji zrzutów ekranu oraz ukrytej komunikacji C2 przez Tor tworzy skuteczny model ataku na użytkowników operujących kryptowalutami.

Dla zespołów bezpieczeństwa kluczowe znaczenie ma nie tylko blokowanie znanych próbek, ale przede wszystkim wykrywanie zachowań charakterystycznych dla propagacji przez USB, nadużyć Windows Script Host, trwałości przez zadania harmonogramu oraz manipulacji schowkiem. W przypadku środowisk finansowych i organizacji pracujących z aktywami cyfrowymi jest to zagrożenie o realnym wpływie biznesowym i operacyjnym.

Źródła

https://thehackernews.com/2026/06/microsoft-details-windows-clipper.html
https://www.microsoft.com/en-us/security/blog/2026/05/26/poisoned-search-results-gpu-mining-cryptojacking-campaign-abusing-screenconnect-microsoft-net-utilities/
https://www.microsoft.com/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/

FortiBleed: wyciek poświadczeń Fortinet i FortiGate może zagrozić ponad 73 tys. urządzeń

Wprowadzenie do problemu / definicja

FortiBleed to incydent bezpieczeństwa związany z ujawnieniem obszernego zbioru danych zawierającego poświadczenia do urządzeń Fortinet i FortiGate. Chodzi przede wszystkim o dane logowania do bram SSL VPN oraz interfejsów administracyjnych, które w wielu organizacjach stanowią kluczowy element kontroli dostępu zdalnego i ochrony granicy sieci.

Skala problemu sprawia, że nie można traktować go jak typowego wycieku haseł użytkowników końcowych. W części przypadków ujawnione informacje mogą obejmować loginy, adresy e-mail oraz hasła w postaci jawnej, a także dane wskazujące na głębszy dostęp do konfiguracji urządzeń.

W skrócie

FortiBleed ma dotyczyć około 73 932 unikalnych adresów URL urządzeń Fortinet.
Wyciek obejmuje organizacje działające w 194 krajach.
Zestaw danych może zawierać aktualne poświadczenia do urządzeń nadal dostępnych z internetu.
Analiza wskazuje, że źródłem mogły być nie tylko próby logowania, ale również wyeksportowane konfiguracje urządzeń.
Ryzyko obejmuje przejęcie dostępu VPN, naruszenie paneli administracyjnych i dalszą kompromitację środowiska wewnętrznego.

Kontekst / historia

Sprawa została nagłośniona po odkryciu publicznie dostępnego serwera z danymi powiązanymi z infrastrukturą Fortinet. Wśród ujawnionych wpisów miały znajdować się rekordy odnoszące się do znanych firm i instytucji z wielu sektorów, w tym finansów, telekomunikacji, ochrony zdrowia, edukacji, administracji oraz przemysłu.

Badacze bezpieczeństwa ocenili, że skala zdarzenia może przewyższać wcześniejsze incydenty związane z ekosystemem Fortinet. Szczególne znaczenie ma fakt, że część danych uznano za relatywnie świeże, a wiele urządzeń objętych wyciekiem miało pozostawać osiągalnych z internetu także po ujawnieniu problemu.

Taki scenariusz oznacza, że FortiBleed nie jest wyłącznie historycznym naruszeniem poufności. To również realne ryzyko bieżącego wykorzystania poświadczeń do wtórnych włamań, przejmowania kont uprzywilejowanych oraz prowadzenia ruchu bocznego w sieciach ofiar.

Analiza techniczna

Najważniejszy aspekt techniczny FortiBleed polega na charakterze samych danych. Ujawniony zbiór nie wygląda jak standardowa lista loginów i haseł zebranych przez infostealery lub pochodzących z pojedynczego wycieku konsumenckiego. W materiale miały pojawiać się informacje typowe dla konfiguracji urządzeń FortiGate, co sugeruje bardziej zaawansowane źródło pozyskania danych.

Jeśli rzeczywiście chodzi o eksporty konfiguracji, problem nabiera znacznie większej wagi. Oznaczałoby to, że atakujący mogli wcześniej uzyskać podwyższony dostęp do urządzeń, przejąć kopie zapasowe konfiguracji lub wykorzystać inną metodę odczytu danych bezpośrednio z systemu. W takim modelu ryzyko nie sprowadza się do słabych haseł, lecz obejmuje możliwość pełniejszej kompromitacji urządzenia brzegowego.

Dodatkową przesłanką jest obecność długich i złożonych haseł, co osłabia tezę, że cały zbiór powstał wyłącznie w wyniku prostych ataków brute force lub password sprayingu. Bardziej prawdopodobny jest model operacyjny łączący automatyczne skanowanie internetu, identyfikację urządzeń Fortinet, testowanie poświadczeń, agregację wyników oraz budowę bazy zweryfikowanych dostępów.

Z perspektywy obronnej szczególnie niebezpieczne jest publiczne wystawianie do internetu nie tylko portali SSL VPN, ale również samych paneli zarządzania. Taki układ skraca drogę od przejętych poświadczeń do pełnej kontroli nad urządzeniem. Jeżeli dodatkowo stosowano te same lub podobne dane logowania dla VPN i administracji, ryzyko eskalacji wzrasta jeszcze bardziej.

Konsekwencje / ryzyko

Skutki FortiBleed mogą być bardzo poważne, ponieważ dotyczą urządzeń odpowiedzialnych za zdalny dostęp, filtrowanie ruchu i egzekwowanie polityk bezpieczeństwa. Ważne poświadczenia do FortiGate mają znacznie większą wartość operacyjną niż typowe dane zwykłego użytkownika.

Przejęcie dostępu VPN i podszycie się pod legalnego użytkownika lub administratora.
Modyfikacja konfiguracji zapory, osłabienie polityk bezpieczeństwa lub wyłączenie rejestrowania zdarzeń.
Dodanie nowych ścieżek dostępu do środowiska wewnętrznego.
Wykorzystanie urządzenia brzegowego jako punktu startowego do ruchu bocznego.
Przygotowanie gruntu pod ransomware, sabotaż operacyjny lub działania cyberwywiadowcze.

Dla organizacji regulowanych dochodzi także ryzyko naruszenia wymogów zgodności, utraty poufności danych oraz kosztownych konsekwencji reputacyjnych. W praktyce kompromitacja urządzenia brzegowego może wpływać na całą architekturę bezpieczeństwa, ponieważ taki system bywa traktowany jako punkt zaufania dla innych zasobów.

Rekomendacje

Organizacje korzystające z Fortinet i FortiGate powinny potraktować FortiBleed jako incydent wymagający natychmiastowej walidacji ekspozycji. Podstawowym krokiem powinna być szybka rotacja poświadczeń dla wszystkich kont administracyjnych, kont VPN oraz kont serwisowych powiązanych z tym środowiskiem.

Następnie należy bezwzględnie włączyć uwierzytelnianie wieloskładnikowe dla dostępu zdalnego, a tam, gdzie to możliwe, również dla operacji administracyjnych. Interfejsy zarządzania nie powinny być publicznie dostępne z internetu. Dostęp do nich warto ograniczyć do wydzielonych adresów źródłowych, odrębnej sieci zarządzającej lub kontrolowanego bastionu.

Równie istotna jest analiza logów z urządzeń FortiGate, systemów SIEM, serwerów uwierzytelniania oraz kontrolerów domeny. Zespoły bezpieczeństwa powinny szukać oznak takich jak nietypowe lokalizacje logowania, aktywność poza standardowymi godzinami pracy, nagłe zmiany konfiguracji, tworzenie nowych kont administratorów, zmiany polityk firewall czy restarty usług bez uzasadnienia operacyjnego.

Jeżeli organizacja eksportowała konfiguracje urządzeń do zewnętrznych repozytoriów, konieczne jest sprawdzenie bezpieczeństwa tych lokalizacji, uprawnień dostępowych oraz historii pobrań. W przypadku jakichkolwiek oznak kompromitacji urządzenie należy traktować jako potencjalnie niezaufane i rozważyć pełną procedurę reagowania na incydent, łącznie z odtworzeniem konfiguracji ze zweryfikowanego źródła.

Wymuś rotację wszystkich poświadczeń powiązanych z Fortinet i FortiGate.
Włącz MFA dla VPN oraz administracji.
Odłącz panele zarządzania od publicznego internetu.
Przeanalizuj logi pod kątem anomalii i zmian konfiguracji.
Zweryfikuj bezpieczeństwo backupów i eksportów konfiguracji.
Rozdziel konta administracyjne od zwykłych kont użytkowników.

Podsumowanie

FortiBleed to incydent wysokiego ryzyka, ponieważ dotyczy poświadczeń do urządzeń pełniących krytyczną rolę w ochronie granicy sieci i obsłudze dostępu zdalnego. Skala wycieku, jego międzynarodowy zasięg oraz możliwy związek z eksportami konfiguracji wskazują, że problem może wykraczać daleko poza klasyczny wyciek haseł.

Dla zespołów bezpieczeństwa najważniejsze działania to szybka rotacja danych dostępowych, egzekwowanie MFA, odcięcie paneli administracyjnych od internetu oraz szczegółowe dochodzenie w logach i konfiguracjach. FortiBleed przypomina również, że urządzenia brzegowe powinny być monitorowane i chronione z taką samą starannością jak systemy tożsamości i serwery krytyczne.

Źródła

BleepingComputer — FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices — https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
Dark Reading — Sweeping Credential Heist Compromises 30K+ Fortinet Devices — https://www.darkreading.com/cyberattacks-data-breaches/sweeping-credential-harvesting-heist-compromises-30k-fortinet-devices
LinkedIn — Volodymyr “Bob” Diachenko profile and public FortiBleed-related posts — https://ua.linkedin.com/in/vdyachenko
Fortinet Document Library — FortiGate / FortiOS Documentation — https://docs.fortinet.com/
Reddit / r/cybersecurity — Discussion summarizing researcher findings on FortiBleed — https://www.reddit.com/r/cybersecurity/comments/1u8f54c/over_75000_fortinet_device_administrator/

Ukraina objęta unijną rezerwą cyberbezpieczeństwa. UE wzmacnia wsparcie wobec dużych cyberataków

Wprowadzenie do problemu / definicja

Unijna rezerwa cyberbezpieczeństwa to mechanizm wsparcia uruchamiany w sytuacji poważnych incydentów i cyberataków o dużej skali. Jego zadaniem jest zapewnienie szybkiej, skoordynowanej pomocy operacyjnej poprzez dostęp do wyspecjalizowanych usług reagowania, ekspertów oraz zaufanych dostawców, którzy mogą wesprzeć analizę incydentu, ograniczanie skutków ataku i odtwarzanie działania systemów.

W czerwcu 2026 roku Ukraina została formalnie włączona do tego instrumentu. To ważny krok zarówno z punktu widzenia bezpieczeństwa samej Ukrainy, jak i szerszej architektury cyberodporności w Europie.

W skrócie

Najważniejsza zmiana polega na tym, że Ukraina może teraz aktywować awaryjne wsparcie Unii Europejskiej w odpowiedzi na cyberincydenty o dużej skali. Decyzja została zatwierdzona przez Radę UE 15 czerwca 2026 roku i opublikowana dzień później.

Ukraina uzyskała dostęp do unijnego mechanizmu szybkiego wsparcia cybernetycznego.
Instrument działa w ramach europejskiego modelu cyber solidarności.
Wsparcie obejmuje pomoc techniczną, analizę incydentów i odtwarzanie usług.
Decyzja ma znaczenie operacyjne, a nie wyłącznie polityczne.

Kontekst / historia

Włączenie Ukrainy do rezerwy cyberbezpieczeństwa wpisuje się w kilkuletni proces pogłębiania współpracy między UE a Kijowem w obszarze bezpieczeństwa cyfrowego. Od początku pełnoskalowej agresji Rosji Ukraina pozostaje jednym z najczęściej atakowanych państw w cyberprzestrzeni.

Ataki wymierzone w administrację publiczną, infrastrukturę krytyczną, telekomunikację i usługi cyfrowe pokazały, że klasyczne modele obrony państwa muszą być uzupełniane o transgraniczne mechanizmy szybkiej pomocy technicznej. Równolegle Unia Europejska rozwijała własne ramy reagowania na incydenty i model cyber solidarności, w którym rezerwa cyberbezpieczeństwa pełni rolę praktycznego narzędzia wsparcia.

Objęcie Ukrainy tym mechanizmem nie jest więc decyzją incydentalną. To konsekwencja wcześniejszych działań politycznych, dialogu cybernetycznego UE–Ukraina oraz rosnącej integracji z europejskimi instrumentami odporności cyfrowej.

Analiza techniczna

Z operacyjnego punktu widzenia rezerwa cyberbezpieczeństwa zapewnia dostęp do usług reagowania na incydenty świadczonych przez wyspecjalizowane podmioty. Nie chodzi wyłącznie o symboliczny gest solidarności, lecz o realne zdolności techniczne, które mogą zostać uruchomione pod presją czasu.

Zakres wsparcia może obejmować między innymi:

obsługę incydentów i techniczny triage,
analizę malware i artefaktów po naruszeniu,
forensics oraz ustalanie wektora wejścia,
wykrywanie ruchu lateralnego i działań post-exploitation,
hardening środowiska po incydencie,
wsparcie przy przywracaniu ciągłości działania.

Mechanizm może być szczególnie przydatny podczas złożonych kampanii łączących phishing ukierunkowany, przejęcie tożsamości, wykorzystanie podatności w usługach brzegowych, wdrożenie narzędzi zdalnego dostępu i działania destrukcyjne. W warunkach ciągłej presji geopolitycznej takie incydenty często są skoordynowane i nakładają się na operacje wpływu oraz próby destabilizacji usług publicznych.

W praktyce włączenie Ukrainy do rezerwy zwiększa elastyczność reagowania. Gdy lokalne zespoły CSIRT lub wyspecjalizowane zasoby są przeciążone, możliwe staje się szybkie sięgnięcie po zewnętrzne wsparcie o wysokiej dojrzałości operacyjnej.

Konsekwencje / ryzyko

Dla Ukrainy najważniejszą korzyścią jest zwiększenie odporności operacyjnej. Dostęp do unijnego wsparcia może skrócić czas reakcji, ograniczyć skutki incydentu, przyspieszyć ustalenie przyczyny źródłowej i poprawić jakość działań naprawczych.

Dla Unii Europejskiej znaczenie tej decyzji jest szersze. Cyberataki prowadzone przeciwko Ukrainie często stanowią pole testowe dla technik, które później mogą zostać użyte przeciwko państwom członkowskim, operatorom infrastruktury krytycznej i dostawcom technologii w Europie. Ściślejsza współpraca zwiększa więc zdolność do wcześniejszego rozpoznawania trendów, taktyk przeciwnika i wzorców ataku.

Sam mechanizm nie eliminuje jednak ryzyka. Jego skuteczność zależy od szybkości aktywacji, jakości wymiany informacji, gotowości organizacyjnej odbiorcy wsparcia oraz interoperacyjności procedur. W incydentach hybrydowych znaczenie mają również kwestie klasyfikacji informacji, jurysdykcji, dostępu do logów i koordynacji pomiędzy strukturami cywilnymi a bezpieczeństwem narodowym.

Rekomendacje

Decyzja o objęciu Ukrainy unijną rezerwą cyberbezpieczeństwa pokazuje, że odporność cyfrowa nie może opierać się wyłącznie na prewencji. Równie istotna jest gotowość do szybkiego reagowania i współpracy z partnerami zewnętrznymi.

Organizacje publiczne oraz operatorzy usług kluczowych powinni:

przygotować formalne procedury eskalacji incydentów i kryteria uruchamiania wsparcia zewnętrznego,
utrzymywać aktualne playbooki dla scenariuszy ransomware, wiperów, przejęcia kont uprzywilejowanych i kompromitacji usług brzegowych,
centralizować logowanie oraz retencję telemetryczną na potrzeby analizy śledczej,
testować segmentację sieci i odporność tożsamości uprzywilejowanych,
rozwijać zdolności threat hunting oraz mapowanie technik przeciwnika,
regularnie ćwiczyć współpracę między CSIRT, SOC, administracją i kierownictwem kryzysowym,
utrzymywać gotowe procedury odtwarzania usług, kopie zapasowe offline i plany ciągłości działania,
zapewnić bezpieczne kanały wymiany informacji z partnerami krajowymi i międzynarodowymi.

Z perspektywy strategicznej kluczowa pozostaje interoperacyjność. Sam dostęp do ekspertów zewnętrznych nie wystarczy, jeśli organizacja nie jest gotowa do szybkiego przekazania artefaktów, uporządkowania śladów technicznych i wdrożenia środków zaradczych.

Podsumowanie

Objęcie Ukrainy unijną rezerwą cyberbezpieczeństwa to istotny krok w rozwoju europejskiej architektury cyberodporności. Choć decyzja ma wymiar polityczny, jej najważniejsze znaczenie pozostaje operacyjne: umożliwia szybsze uruchomienie specjalistycznej pomocy podczas incydentów o dużej skali.

W realiach stałych operacji cybernetycznych wymierzonych w Ukrainę jest to wzmocnienie praktyczne, a nie wyłącznie deklaratywne. Jednocześnie ruch ten potwierdza, że bezpieczeństwo cyfrowe Europy coraz wyraźniej opiera się na modelu współdzielonej odpowiedzialności, transgranicznej współpracy i wspólnego reagowania.

Źródła

EU provides cyber support to Ukraine against major attacks — https://www.eeas.europa.eu/delegations/ukraine/eu-provides-cyber-support-ukraine-against-major-attacks_en
Decisión de Ejecución (UE) 2026/1354 del Consejo, de 15 de junio de 2026 — https://www.boe.es/buscar/doc.php?id=DOUE-L-2026-80903
EU Cybersecurity Reserve — https://www.enisa.europa.eu/topics/eu-incident-response-and-cyber-crisis-management/eu-cybersecurity-reserve
EU allows Ukraine to tap emergency cybersecurity support system — https://www.pravda.com.ua/eng/news/2026/06/16/8039550/
Les États membres de l’UE s’accordent sur l’inclusion de l’Ukraine dans la réserve européenne de cybersécurité — https://agenceurope.eu/fr/bulletin/article/13888/34/les-etats-membres-de-lue-saccordent-sur-linclusion-de-lukraine-dans-la-reserve-europeenne-de-cybersecurite

Atak na iRhythm: wyciek danych pacjentów po naruszeniu aplikacji zewnętrznych

Wprowadzenie do problemu / definicja

iRhythm, firma specjalizująca się w rozwiązaniach do zdalnego monitorowania pracy serca, ujawniła incydent cyberbezpieczeństwa związany z nieautoryzowanym dostępem do danych przechowywanych w wybranych aplikacjach biznesowych hostowanych przez podmioty trzecie. Sprawa budzi szczególne obawy, ponieważ dotyczy sektora ochrony zdrowia, gdzie potencjalnie zagrożone mogą być dane osobowe oraz chronione informacje medyczne pacjentów.

To kolejny przykład sytuacji, w której głównym celem atakujących nie muszą być systemy kliniczne czy infrastruktura medyczna. Coraz częściej przestępcy koncentrują się na aplikacjach pomocniczych, usługach SaaS i zewnętrznych platformach biznesowych, które przetwarzają cenne dane, a jednocześnie bywają słabiej kontrolowane niż środowiska produkcyjne.

W skrócie

Incydent wykryto 8 czerwca 2026 r.
9 czerwca 2026 r. firma otrzymała żądanie okupu od podmiotu twierdzącego, że wykradł dane firmowe, dane osobowe i chronione informacje zdrowotne.
Naruszenie miało dotyczyć wybranych aplikacji biznesowych utrzymywanych przez strony trzecie.
Wskazanym wektorem ataku była socjotechnika.
Według spółki nie doszło do zakłócenia systemów klinicznych, urządzeń medycznych, bezpieczeństwa pacjentów ani ciągłości operacyjnej.
Firma poinformowała również, że incydent nie obejmował danych kart płatniczych ani informacji o rachunkach finansowych.

Kontekst / historia

iRhythm działa w obszarze cyfrowej opieki zdrowotnej i jest rozpoznawalny dzięki technologiom wspierającym ciągłe monitorowanie rytmu serca. Takie organizacje należą do grupy szczególnie atrakcyjnych celów dla cyberprzestępców, ponieważ łączą wysoką wartość operacyjną z dostępem do dużych wolumenów danych medycznych i osobowych.

Ujawniony incydent wpisuje się w rosnący trend ataków wymierzonych w ekosystem dostawców oraz aplikacje hostowane poza główną infrastrukturą firmy. W praktyce oznacza to, że nawet dobrze chronione środowiska centralne nie gwarantują pełnego bezpieczeństwa, jeśli słabszym ogniwem okazują się konta użytkowników, integracje SaaS lub zewnętrzne systemy przechowujące dane biznesowe.

W tym modelu ataku napastnicy nie muszą zakłócać pracy urządzeń medycznych ani przejmować systemów klinicznych. Wystarczające bywa uzyskanie dostępu do aplikacji pomocniczej, z której można wyeksportować wartościowe dane, a następnie wykorzystać je do wymuszenia finansowego.

Analiza techniczna

Z ujawnionych informacji wynika, że incydent był związany z atakiem socjotechnicznym oraz dotyczył określonych aplikacji biznesowych hostowanych przez strony trzecie. Taki opis sugeruje scenariusz, w którym atakujący przejął tożsamość użytkownika lub administratora, wykorzystując phishing, podszycie się pod zaufaną osobę, nadużycie procedur wsparcia, kradzież sesji lub manipulację procesem resetu dostępu.

Typowy przebieg takiego zdarzenia obejmuje kilka etapów. Najpierw dochodzi do uzyskania dostępu do konta z odpowiednimi uprawnieniami. Następnie napastnik przeprowadza rekonesans, identyfikuje zbiory danych o najwyższej wartości i dokonuje ich eksportu poza środowisko organizacji. Ostatnim etapem jest wymuszenie, czyli żądanie zapłaty w zamian za nieujawnianie lub niepublikowanie skradzionych informacji.

To ważne rozróżnienie, ponieważ mamy tu do czynienia z modelem extortion-only, który nie wymaga szyfrowania infrastruktury. Z perspektywy ofiary brak przestoju operacyjnego nie oznacza jednak niskiej skali zagrożenia. Utrata poufności danych może wywołać równie poważne skutki jak klasyczny atak ransomware, zwłaszcza w sektorze medycznym.

Istotnym elementem pozostaje brak publicznych szczegółów technicznych dotyczących konkretnej aplikacji, konfiguracji środowiska lub mechanizmu obejścia zabezpieczeń. Z jednej strony ogranicza to możliwość precyzyjnej oceny przyczyny incydentu, z drugiej jednak potwierdza, że bezpieczeństwo aplikacji zewnętrznych, zarządzanie tożsamością i kontrola uprawnień pozostają kluczowymi obszarami ryzyka.

Konsekwencje / ryzyko

Największym zagrożeniem jest potencjalne ujawnienie danych pacjentów oraz innych informacji osobowych, które mogą zostać wykorzystane w oszustwach, kradzieży tożsamości, kampaniach phishingowych i kolejnych działaniach socjotechnicznych. Dane medyczne są szczególnie cenne, ponieważ często zawierają trwałe i trudne do zmiany informacje, a ich wyciek może mieć długofalowe konsekwencje dla poszkodowanych.

Dla samej organizacji incydent oznacza ryzyko regulacyjne, prawne i reputacyjne. Nawet jeśli nie doszło do zakłócenia usług klinicznych, naruszenie poufności danych może prowadzić do obowiązków notyfikacyjnych, kontroli zgodności, dodatkowych kosztów reagowania oraz potencjalnych roszczeń ze strony klientów i partnerów.

Problemem pozostaje także niepewność co do pełnej skali eksfiltracji. W wielu podobnych przypadkach organizacja początkowo zna jedynie część obrazu sytuacji, podczas gdy atakujący już wykorzystuje skradzione dane jako środek nacisku w negocjacjach. Brak wskazania konkretnej grupy przestępczej nie zmniejsza ryzyka, ponieważ współczesne kampanie wymuszeń często zaczynają się od prywatnych kontaktów z ofiarą, a dopiero później przechodzą do publikacji próbek danych.

Rekomendacje

Incydent w iRhythm powinien zostać potraktowany jako sygnał ostrzegawczy dla organizacji ochrony zdrowia oraz wszystkich firm korzystających z rozbudowanego ekosystemu usług SaaS i aplikacji zewnętrznych. Kluczowe znaczenie ma tu nie tylko ochrona infrastruktury centralnej, ale również ścisła kontrola tożsamości, integracji i miejsc przechowywania danych.

Wdrożenie silnego zarządzania tożsamością i dostępem, w tym MFA odpornego na phishing oraz zasady najmniejszych uprawnień.
Regularne przeglądy ról i uprawnień w aplikacjach biznesowych oraz usługach chmurowych.
Centralne monitorowanie logów z platform SaaS pod kątem anomalii, takich jak masowy eksport danych, logowania z nietypowych lokalizacji czy nagłe zmiany uprawnień.
Ocena bezpieczeństwa dostawców zewnętrznych, obejmująca integracje API, mechanizmy SSO, retencję danych i gotowość do reagowania na incydenty.
Ograniczanie replikacji danych do systemów, które nie są niezbędne operacyjnie.
Szkolenia antyphishingowe i procedury weryfikacji działań wysokiego ryzyka, zwłaszcza w przypadku kont uprzywilejowanych.
Uwzględnienie w planach reagowania scenariuszy wymuszenia po eksfiltracji danych, a nie wyłącznie klasycznego ransomware.

Podsumowanie

Atak na iRhythm pokazuje, że nowoczesne incydenty w ochronie zdrowia nie muszą zaczynać się od przejęcia systemów klinicznych. Wystarczające może być naruszenie aplikacji biznesowej hostowanej przez stronę trzecią, połączone z socjotechniką i eksfiltracją danych. Taki model ataku zwiększa presję regulacyjną i reputacyjną, nawet jeśli podstawowa działalność medyczna pozostaje niezakłócona.

Dla organizacji to wyraźny sygnał, że bezpieczeństwo powinno obejmować cały ekosystem cyfrowy: użytkowników, konta uprzywilejowane, aplikacje zewnętrzne, segmentację środowisk oraz gotowość do reagowania na incydenty typu data theft and extortion.

Źródła

INC ransomware rośnie dzięki opanowaniu podstaw operacyjnych

Wprowadzenie do problemu / definicja

INC to grupa ransomware działająca w modelu ransomware-as-a-service, w którym operatorzy udostępniają narzędzia i infrastrukturę afiliantom odpowiedzialnym za realizację ataków. Jej przykład pokazuje, że skuteczność współczesnych kampanii nie musi wynikać z przełomowych innowacji technicznych, lecz z dobrze zorganizowanego procesu operacyjnego, powtarzalności działań i trafnego wyboru celów.

To zagrożenie szczególnie istotne dla organizacji, które opierają działalność na ciągłości usług i przetwarzaniu danych wrażliwych. W takich środowiskach nawet relatywnie prosty technicznie atak może wywołać poważne skutki biznesowe.

W skrócie

Grupa INC jest aktywna od 2023 roku i według dostępnych analiz przypisała sobie już setki ofiar. Jej rozwój zbiegł się z osłabieniem części znanych marek ransomware, co umożliwiło szybkie zwiększenie skali działania i przejęcie części przestrzeni operacyjnej na rynku cyberprzestępczym.

INC wykorzystuje model podwójnego wymuszenia: szyfrowanie danych oraz groźbę ich ujawnienia.
Ataki koncentrują się na sektorach o wysokiej presji operacyjnej, takich jak ochrona zdrowia, edukacja, technologia, budownictwo, usługi prawne i przemysł.
Wejście do środowiska ofiary odbywa się głównie przez spearphishing, skradzione poświadczenia oraz eksploatację znanych podatności.
Skuteczność grupy wynika bardziej z dyscypliny operacyjnej niż z wyjątkowo zaawansowanego malware.

Kontekst / historia

Wzrost znaczenia INC należy analizować w szerszym kontekście zmian w ekosystemie ransomware. Gdy część dużych grup została wyłączona, rozbita lub osłabiona, nie doprowadziło to do zaniku rynku, lecz do jego redystrybucji. Nowe i bardziej elastyczne podmioty zaczęły szybko wypełniać powstałą lukę.

INC skorzystało na tej sytuacji, rozwijając model, który jest atrakcyjny dla afiliantów: prosty, skalowalny i oparty na dobrze znanych technikach. W dojrzałym środowisku RaaS przewagę osiągają już nie tylko twórcy najbardziej skomplikowanego kodu, ale również operatorzy zapewniający partnerom przewidywalny proces ataku oraz skuteczne mechanizmy monetyzacji.

Analiza techniczna

Od strony technicznej INC nie redefiniuje krajobrazu ransomware, lecz bardzo efektywnie wykorzystuje istniejący arsenał narzędzi i metod. Atak zwykle rozpoczyna się od spearphishingu, użycia prawidłowych danych uwierzytelniających pozyskanych od brokerów initial access lub od eksploatacji publicznie znanych luk w usługach brzegowych i narzędziach zdalnego zarządzania.

W analizach kampanii wskazywano między innymi na wykorzystywanie podatności CVE-2025-5777, CVE-2024-57727, CVE-2023-3519 oraz CVE-2023-48788. To ważny sygnał ostrzegawczy dla zespołów bezpieczeństwa: grupa nie musi posiadać zero-dayów, jeśli organizacje nadal utrzymują niezałatane systemy dostępne z Internetu.

Po uzyskaniu dostępu operatorzy prowadzą rekonesans przy użyciu prostych poleceń systemowych, testów łączności oraz narzędzi takich jak skanery sieciowe. Kradzież poświadczeń może być realizowana za pomocą zakodowanych skryptów, a ruch boczny jest wspierany przez techniki living-off-the-land, czyli wykorzystywanie legalnych komponentów systemowych do działań ofensywnych.

Do unikania detekcji stosowane są narzędzia wyłączające lub obchodzące mechanizmy EDR. Komunikacja z infrastrukturą operatorów oraz zdalna obsługa środowiska mogą opierać się na komercyjnych lub red-teamowych narzędziach dostępu zdalnego. Etap eksfiltracji obejmuje archiwizację danych i przesyłanie ich do kontrolowanej przez atakujących chmury, a następnie uruchomienie podwójnego wymuszenia.

Warto podkreślić, że malware INC występuje w wariantach dla systemów Windows oraz Linux/ESXi, a nowsze wersje zostały przepisane w języku Rust. Taka decyzja zwiększa przenośność kodu i może utrudniać analizę. Jednocześnie sam ładunek pozostaje funkcjonalnie dość typowy, oferując między innymi zabijanie procesów, szyfrowanie danych i kradzież poświadczeń. O sile INC decyduje więc nie wyjątkowość funkcji, lecz niezawodność i użyteczność dla afiliantów.

Konsekwencje / ryzyko

Największe zagrożenie związane z INC wynika z połączenia prostoty i skali. Grupa uderza w organizacje, gdzie przestój szybko przekłada się na presję operacyjną, finansową lub reputacyjną. Dotyczy to zwłaszcza sektorów przetwarzających dane wrażliwe albo utrzymujących usługi krytyczne.

Dla obrońców oznacza to kilka istotnych ryzyk. Klasyczne słabości, takie jak brak aktualizacji, niewystarczające zarządzanie tożsamością czy płaska architektura sieci, pozostają w pełni eksploatowalne. Dodatkowo szerokie wykorzystanie legalnych narzędzi administracyjnych utrudnia wykrywanie incydentu, ponieważ złośliwa aktywność może przypominać zwykłe działania operacyjne.

Obecność wariantów dla środowisk ESXi zwiększa także ryzyko ataku na warstwę wirtualizacji, co może znacząco skomplikować odtwarzanie usług po incydencie. Jeśli z kolei kod, procedury i know-how grupy są adaptowane przez innych operatorów, rośnie prawdopodobieństwo pojawienia się kolejnych kampanii opartych na tym samym modelu działania.

Rekomendacje

Podstawowym priorytetem powinno być ograniczenie ekspozycji zewnętrznej. Organizacje muszą zinwentaryzować wszystkie usługi dostępne z Internetu, szczególnie urządzenia brzegowe, systemy zdalnego dostępu, platformy Citrix, rozwiązania Fortinet oraz narzędzia RMM. Krytyczne poprawki bezpieczeństwa powinny być wdrażane możliwie jak najszybciej.

Drugim filarem ochrony jest skuteczne zarządzanie tożsamością. W praktyce oznacza to egzekwowanie MFA dla dostępu zdalnego i kont uprzywilejowanych, ograniczanie ponownego użycia haseł, monitorowanie anomalii logowania oraz stosowanie zasady najmniejszych uprawnień. Konta administracyjne i serwisowe powinny być regularnie audytowane.

Równie ważna pozostaje segmentacja sieci oraz ograniczanie możliwości ruchu bocznego. Stacje robocze, serwery, systemy kopii zapasowych i środowiska wirtualizacyjne nie powinny funkcjonować w jednej płaskiej strefie zaufania. Warto także monitorować użycie PowerShella, narzędzi administracyjnych, nietypowych archiwizacji danych i transferów do chmury.

Wdrażaj poprawki dla usług wystawionych do Internetu bez zbędnej zwłoki.
Wymuś MFA dla dostępu zdalnego i kont uprzywilejowanych.
Segmentuj sieć i ograniczaj ruch boczny między krytycznymi zasobami.
Monitoruj użycie legalnych narzędzi administracyjnych i skryptów.
Stosuj kopie zapasowe zgodne z zasadą 3-2-1, najlepiej offline lub niemutowalne.
Testuj regularnie procedury odtwarzania po incydencie.
Wzmacniaj detekcję za pomocą IOC, YARA i szerszej telemetrii endpointów.

Podsumowanie

Przypadek INC potwierdza, że nowoczesny ransomware nie musi być technologicznie przełomowy, aby osiągać wysoką skuteczność. Wystarczy połączenie sprawdzonych metod dostępu, efektywnego modelu afiliacyjnego, prostego łańcucha operacyjnego i koncentracji na ofiarach podatnych na presję biznesową.

Dla organizacji to ważna lekcja: jedne z najpoważniejszych zagrożeń nie wynikają z egzotycznych exploitów, lecz z konsekwentnego wykorzystywania podstawowych zaniedbań w obszarze cyberhigieny, zarządzania tożsamością i utrzymania infrastruktury.

Źródła

INC Ransomware Thrives by Mastering the Basics — https://www.darkreading.com/cyberattacks-data-breaches/inc-ransomware-thrives-by-mastering-the-basics
From emerging threat to top-tier ransomware-as-a-service: The evolution of INC ransomware — https://www.acronis.com/en/tru/posts/from-emerging-threat-to-top-tier-ransomware-as-a-service-the-evolution-of-inc-ransomware/
CVE-2023-3519 — https://nvd.nist.gov/vuln/detail/CVE-2023-3519
CVE-2023-48788 — https://nvd.nist.gov/vuln/detail/CVE-2023-48788
CVE-2024-57727 — https://nvd.nist.gov/vuln/detail/CVE-2024-57727

Kampanie ClickFix rozwijają dystrybucję malware przez nowe loadery i fałszywe aktualizacje

Wprowadzenie do problemu / definicja

ClickFix to technika socjotechniczna, w której atakujący nakłaniają ofiarę do samodzielnego uruchomienia złośliwego polecenia. Zamiast wykorzystywać klasyczne exploity, operatorzy kampanii prezentują wiarygodnie wyglądające komunikaty o rzekomej aktualizacji bezpieczeństwa, błędzie przeglądarki lub konieczności wykonania działania naprawczego.

Najgroźniejszy element tej metody polega na tym, że użytkownik sam inicjuje infekcję. W praktyce oznacza to uruchomienie komendy w PowerShell, cmd, Terminalu lub innym legalnym narzędziu systemowym, co pozwala ominąć część tradycyjnych mechanizmów ochronnych opartych na blokowaniu podejrzanych plików wykonywalnych.

W skrócie

Najnowsze kampanie ClickFix pokazują, że ten model ataku dojrzał i stał się pełnoprawnym wektorem initial access. Badacze opisali kilka odrębnych łańcuchów infekcji, w których wykorzystywane są loadery BabaDeda Loader, Lorem Ipsum Loader oraz Potemkin.

Przynęty podszywają się pod aktualizacje przeglądarek i komunikaty bezpieczeństwa.
Ofiara uruchamia polecenie inicjujące infekcję.
Loadery pobierają kolejne moduły malware, często wyłącznie w pamięci.
Finalny payload może obejmować stealery, backdoory, RAT-y i narzędzia post-exploitation.
Celem bywa kradzież danych, utrzymanie dostępu, ruch boczny i przygotowanie gruntu pod ransomware.

Kontekst / historia

Choć ClickFix nie jest nowym pomysłem, w 2026 roku technika ta wyraźnie zyskała na znaczeniu. Jej popularność wynika z prostoty operacyjnej: atakujący nie muszą inwestować w kosztowne podatności zero-day ani skomplikowane łańcuchy exploitów. Wystarczy odpowiednio przygotowana strona, wiarygodny komunikat i użytkownik gotowy wykonać instrukcję.

W ostatnich kampaniach widać również zmianę strategii po stronie operatorów malware. Część grup odchodzi od trojanizowanych instalatorów i komponentów wymagających podpisu kodu, przenosząc moment wykonania na użytkownika. To ogranicza potrzebę dostarczania klasycznego droppera na początku ataku i utrudnia wykrywanie na podstawie prostych sygnatur.

Dodatkowym czynnikiem zwiększającym skuteczność takich operacji jest używanie przejętych stron internetowych, w tym witryn opartych na WordPressie. Dzięki temu przynęta wygląda bardziej wiarygodnie, a blokowanie infrastruktury wyłącznie na podstawie reputacji domen staje się mniej skuteczne.

Analiza techniczna

Jeden z opisanych wariantów wykorzystuje BabaDeda Loader. Łańcuch zaczyna się od strony z fałszywym komunikatem i instrukcją uruchomienia polecenia PowerShell. Po wykonaniu komendy dochodzi do pobrania kolejnych komponentów z użyciem ukrytego PowerShella, shellcode ładowanego w pamięci, DLL side-loadingu oraz rozdzielenia ładunków na osobne etapy.

BabaDeda Loader potrafi profilować host, analizować środowisko i unikać działania w wybranych regionach. Następnie pobiera właściwy payload i wstrzykuje go do zaufanych procesów systemowych. Dostarczane moduły mogą odpowiadać za zbieranie danych systemowych, artefaktów przeglądarek, zapisanych poświadczeń, plików użytkownika, zrzutów ekranu i rezultatów wykonywanych poleceń, co wskazuje na cel wykraczający poza prostą kradzież danych.

Drugi scenariusz obejmuje Lorem Ipsum Loader. Kampania wykorzystuje przejęte strony WordPress oraz fałszywe aktualizacje bezpieczeństwa dla przeglądarki Edge. Ofiara wykonuje komendę pobierającą archiwum ZIP i starszą wersję Node.js, używaną do uruchomienia złośliwych skryptów JavaScript. To podejście jest interesujące operacyjnie, ponieważ bazuje na legalnym środowisku uruchomieniowym, które może nie wzbudzać natychmiastowych podejrzeń.

Kolejny etap obejmuje skrypt wsadowy odpowiedzialny za utrwalenie obecności i rozpoczęcie łańcucha DLL side-loadingu. Złośliwa biblioteka dekoduje osadzony payload loadera, który następnie kontaktuje się z infrastrukturą C2 i pobiera backdoor. W niektórych przypadkach adresy następnych etapów są pozyskiwane z kontrolowanych przez atakujących profili w serwisach społecznościowych, co utrudnia szybkie wyłączenie całego ekosystemu.

Trzeci wariant opiera się na loaderze Potemkin. W tym modelu infekcja prowadzi do instalacji pakietu MSI, który zapisuje komponent HTA inicjujący dalszy etap. Potemkin działa jako 64-bitowy loader wykorzystujący algorytm DGA do odnajdywania serwera C2 oraz refleksyjne ładowanie modułów bezpośrednio w pamięci, co ogranicza ślady na dysku.

Potemkin zapisuje identyfikator ofiary, okresowo komunikuje się z C2, pobiera biblioteki DLL i uruchamia dodatkowe moduły. Z aktywnością wiązano również EtherRAT oraz RMMProject, oferujące zdalną kontrolę ekranu, kradzież danych przeglądarek, wykonywanie procesów, uruchamianie skryptów oraz pobieranie dalszych komponentów. W praktyce daje to operatorowi szerokie możliwości prowadzenia działań hands-on-keyboard, rekonesansu i ruchu bocznego.

Wspólną cechą wszystkich opisanych kampanii jest silna modularność. Etapy delivery, storage, execution i deployment payloadu są rozdzielone, dlatego pojedynczy wskaźnik kompromitacji rzadko oddaje pełny obraz incydentu. Skuteczna detekcja wymaga korelacji zdarzeń procesowych, sieciowych i pamięciowych oraz analizy zachowań użytkownika.

Konsekwencje / ryzyko

Ryzyko związane z ClickFix jest wysokie, ponieważ technika przenosi punkt wykonania na legalne narzędzia systemowe. Użytkownik uruchamia komendy w PowerShell, cmd, mshta lub interpreterach skryptów, co utrudnia odróżnienie złośliwej aktywności od działań administracyjnych.

Dla organizacji oznacza to możliwość szybkiej kradzieży poświadczeń, cookies, danych przeglądarek i plików użytkowników. Jednocześnie atak może przejść do utrwalenia dostępu, wyłączenia części mechanizmów ochronnych, ruchu bocznego i wdrożenia kolejnych ładunków, w tym ransomware.

Szczególnie niebezpieczne jest łączenie socjotechniki z legalnymi komponentami oraz technikami living-off-the-land. Jeśli organizacja nie monitoruje nietypowych poleceń, side-loadingu bibliotek, pobrań archiwów z nieautoryzowanych źródeł czy zmian w konfiguracji narzędzi ochronnych, wykrycie może nastąpić dopiero na etapie eksfiltracji danych lub szyfrowania zasobów.

Rekomendacje

Podstawową linią obrony jest edukacja użytkowników. Pracownicy powinni wiedzieć, że legalna aktualizacja przeglądarki, systemu lub aplikacji biurowej nie wymaga kopiowania poleceń do PowerShell, cmd ani Terminala.

Monitorować uruchomienia PowerShell, mshta, wscript, cscript, rundll32 i regsvr32.
Rejestrować i analizować parametry linii poleceń.
Ograniczać użycie HTA, niepodpisanych skryptów i nieautoryzowanych interpreterów.
Wdrożyć allowlisting aplikacji i kontrolę wykonywania kodu.
Wykrywać DLL side-loading oraz nietypowe relacje parent-child między procesami.
Śledzić pobieranie archiwów ZIP i wykonywanie skryptów JavaScript poza standardowym kontekstem.
Alertować na dodawanie wykluczeń do Microsoft Defendera oraz innych rozwiązań EDR i AV.
Segmentować sieć i ograniczać możliwości ruchu bocznego przez SMB, WMI oraz tunele reverse proxy.

Ważne jest również przygotowanie playbooków reagowania na incydenty powiązane z ClickFix. Zgłoszenia dotyczące komunikatów nakazujących wklejenie komendy powinny być traktowane jako incydenty wysokiego priorytetu. W analizie należy zabezpieczać historię poleceń, artefakty PowerShell, zadania zaplanowane, wpisy autostartu, biblioteki ładowane przez legalne aplikacje oraz komunikację z nietypowymi domenami.

Podsumowanie

ClickFix przestał być prostą sztuczką socjotechniczną i stał się dojrzałym elementem nowoczesnych łańcuchów dostawy malware. Kampanie wykorzystujące BabaDeda Loader, Lorem Ipsum Loader i Potemkin pokazują, że atakujący skutecznie łączą psychologię użytkownika z technikami in-memory execution, DLL side-loadingu, DGA i modularnego post-exploitation.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany perspektywy. Zagrożenie nie musi zaczynać się od exploita ani klasycznego pliku wykonywalnego. W przypadku ClickFix punktem wejścia jest zaufanie użytkownika oraz nadużycie legalnych narzędzi systemowych, dlatego skuteczna obrona wymaga jednocześnie świadomości personelu, dobrej telemetrii endpointów i szybkiej reakcji na nietypowe polecenia.