Archiwa: Ransomware - Strona 68 z 81 - Security Bez Tabu

Tag: Ransomware

Checkout.com: incydent z „legacy” chmurą, próba szantażu ShinyHunters i nietypowa odpowiedź firmy

Wprowadzenie do problemu / definicja luki

Globalny operator płatności Checkout.com ujawnił naruszenie danych po próbie szantażu. Atakujący uzyskali dostęp nie do platformy przetwarzania płatności, lecz do dziedziczonego („legacy”) zewnętrznego systemu plików w chmurze, używanego w okolicach 2020 r. – zbiory dotyczyły m.in. dokumentów operacyjnych i materiałów onboardingowych dla merchantów. Firma podkreśla, że środki klientów ani numery kart nie były zagrożone. Checkout.com zadeklarował, że nie zapłaci okupu, a równowartość żądania przekaże na badania nad cyberprzestępczością (CMU i Oxford).

W skrócie

  • Data ujawnienia: 12–14 listopada 2025 r. (oświadczenie CTO + publikacje branżowe).
  • Wektor: dostęp do niewłaściwie zdekomisjonowanego zewnętrznego systemu plików w chmurze („legacy, third-party cloud file storage”).
  • Zakres: firma szacuje, że dotyczy to <25% obecnej bazy merchantów; brak dostępu do środków i numerów kart.
  • Sprawcy/brand: roszczenia przypisała sobie grupa ShinyHunters; sprawa osadzona jest w szerszym trendzie Scattered LAPSUS$ Hunters (federacja ShinyHunters/LAPSUS$/Scattered Spider).
  • Postawa firmy: brak płatności okupu + deklaracja darowizny na badania (CMU, Oxford).

Kontekst / historia / powiązania

ShinyHunters to znana grupa wymuszająca publikację danych (data extortion), która w 2025 r. bywa łączona w szersze przedsięwzięcie komunikacyjne określane jako Scattered LAPSUS$ Hunters (SLH) – luźna federacja łącząca TTPs kilku głośnych grup, nastawiona na wykradanie danych i szantaż medialny, niekoniecznie szyfrowanie środowisk ofiary. Ten paradygmat opiera się na szybkiej eskalacji PR (leaki, witryny DLS, Telegram) i wykorzystaniu błędów operacyjnych ofiar (np. niewyłączone integracje, stare zasoby chmurowe).

W przypadku Checkout.com, pierwsze doniesienia branżowe potwierdziły extortion attempt oraz to, że nie chodzi o „core” platformę (acquiring/processing), tylko o poboczny, historyczny zasób w chmurze.

Analiza techniczna / szczegóły luki

„Zombie w chmurze”: jak powstaje luka

Najczęstsze przyczyny ekspozycji „legacy cloud file storage”:

  1. Niepełna utylizacja zasobu – bucket / storage account pozostaje aktywny po migracji.
  2. Słabe tożsamości/aplikacje – zapomniane konta serwisowe, klucze dostępu, stare tokeny OAuth/refresh.
  3. Niewłaściwe ACL/udostępnienia – publiczne linki, szerokie „AllUsers/AllAuthenticatedUsers”.
  4. Brak SPM (Secret/Key Management) – klucze w repo, w starych CI/CD, na share’ach.
  5. Shadow IT / „3rd-party sprawl” – vendorowe konta w chmurach, poza centralnym zarządzaniem.

Typowe artefakty i ścieżki dostępu

  • Obiekty: PDF/DOCX onboarding, KYC/KYB, eksporty CSV, zrzuty konfiguracji.
  • Ślady w logach: GetObject, ListBucket, GetBlob, File.Read z rzadkich agentów i nietypowych ASN/VPN.
  • Kanały exfilu: bezpośredni zrzut przez API, czasem via skrypty Rclone/gsutil/azcopy.

Dlaczego „brak kart” i „brak środków” ma sens

System plików pomocniczych zwykle nie przechowuje PAN/CVV ani nie ma połączeń do środowisk PCI (segmentacja). Jeżeli tokenizacja i vault są w osobnych, „hardened” domenach, ryzyko się ogranicza do danych biznesowych/handlowych i PII merchantów – wciąż wrażliwych pod kątem fraudu B2B, spear-phishingu i supply-chain. (Potwierdzenie deklaracji firmy o braku numerów kart i środków: patrz oświadczenie CTO).

Praktyczne konsekwencje / ryzyko

  • Ryzyko łańcucha dostaw (TPRM): wyciek onboardingowych pakietów merchantów ułatwia impersonację (np. faktury, zmiana rachunku, BEC) i fraud na wypłatach.
  • Ryzyko compliance: potencjalne RODO/UK-GDPR (PII merchantów/osób kontaktowych), obowiązki notyfikacyjne wobec regulatorów finansowych.
  • Ryzyko operacyjne: wzrost SOC-volume (skany, próby logowania, phishing), konieczność reissuance kluczy API/sekretów, rotacja danych KYC.
  • Ryzyko reputacyjne: presja mediów i klientów; atakujący wykorzystują „narrację” brandu SLH do eskalacji żądań.

Rekomendacje operacyjne / co zrobić teraz

Poniżej gotowa checklista do użycia z zespołem IR/SecOps/Cloud (AWS/Azure/GCP analogicznie):

1) Natychmiastowe działania IR

  • Zamroź dostęp do zidentyfikowanego zasobu (deny-all / private endpoint / off-board).
  • Rotacja sekretów: klucze dostępu, SAS tokens, service principals, OAuth/refresh tokens, webhooks w integracjach.
  • Kontakt do podmiotów dotkniętych (merchanci/partnerzy), wstępne zawężenie atrybutów danych (zakres, daty, typy plików).
  • Zgłoszenia do regulatorów i organów ścigania (w UE: 72h RODO, w finansach – właściwi regulatorzy).

2) Telemetria i hunting (przykłady)

AWS S3 (CloudTrail Lake / Athena)

-- enumeracja podejrzanych operacji z rzadkich ASN
SELECT eventTime, userIdentity.sessionContext.sessionIssuer.arn AS principal,
       sourceIPAddress, requestParameters.bucketName, eventName, userAgent
FROM cloudtrail_logs
WHERE eventSource='s3.amazonaws.com'
  AND eventName IN ('GetObject','ListBucket','GetObjectAcl')
  AND sourceIPAddress NOT LIKE '10.%'
  AND from_iso8601_timestamp(eventTime) >= timestamp '2025-10-15';

Azure Storage (Log Analytics / KQL)

StorageBlobLogs
| where OperationName in ("GetBlob","ListBlobs","GetBlobProperties")
| where TimeGenerated > ago(60d)
| summarize cnt=count(), ips=make_set(CallerIpAddress) by AccountName, PrincipalId, OperationName, bin(TimeGenerated, 1d)
| order by cnt desc

GCP Cloud Storage (Audit Logs / BigQuery)

SELECT protopayload_auditlog.authenticationInfo.principalEmail AS principal,
       protopayload_auditlog.requestMetadata.callerIp AS ip,
       protopayload_auditlog.methodName AS method,
       resource.labels.bucket_name AS bucket,
       timestamp
FROM `project.logging.cloudaudit_googleapis_com_data_access_*`
WHERE protopayload_auditlog.serviceName = 'storage.googleapis.com'
  AND protopayload_auditlog.methodName IN ('storage.objects.get','storage.objects.list')
  AND timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 60 DAY);

Sigma (uniwersalne) – masowe listowanie/eksfil plików przez „nietypowego” UA

title: Suspicious Cloud Object Bulk Access
logsource: category: webserver
detection:
  selection:
    cs-method|endswith:
      - GetObject
      - ListBucket
      - GetBlob
  filter_known_agents:
    cs-useragent:
      - 'aws-sdk/*'
      - 'Google-Cloud-Storage'
  condition: selection and not filter_known_agents
level: high

3) Twarde wyłączenie „martwych” zasobów w chmurze

  • Inwentaryzacja krzyżowa: CSPM + skanowanie API (np. aws s3 ls --profile legacy-account / az storage account list / gsutil ls -p <ID>).
  • Policy-as-code: globalne block public access, wymuszony KMS, lifecycle na auto-delete.
  • Kontrola tożsamości: znalezienie starych SP (az ad sp list --filter "appOwnerOrganizationId ne null" / przegląd IAM Roles bez rotacji).
  • „Third-party registry”: rejestr wszystkich zewnętrznych chmur/vendorów z cyklem życia i właścicielem (DPP – Data Processing Partners).

4) Komunikacja i PR bezpieczeństwa

  • Transparentne fakty techniczne (co, kiedy, czego nie obejmuje) – tak jak zrobił Checkout.com w swoim oświadczeniu.
  • Brak negocjacji na publicznych kanałach; zespół prawny monitoruje DLS/Telegram.
  • Oferta wsparcia dla dotkniętych partnerów (monitoring fraudu B2B, guidance dot. SPF/DKIM/DMARC, rotacja kluczy).

5) GRC i trwałe usprawnienia

  • Proces dekomisjonowania (runbook + kontrola dowodowa): owner → backup → wipe → tag „to-delete” → automatyczne zamknięcie IAM/Network → potwierdzenie (4-eyes).
  • TPRM: weryfikacja vendorów, szczególnie „third-party storage / file exchange”; audyty konfiguracji i SSO.
  • Table-top exercise dedykowany do data extortion bez szyfrowania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Nie ransomware, a „pure data extortion”: brak szyfrowania, presja medialna + groźba publikacji.
  • Wejście przez „legacy third-party” vs. zero-day w core: ścieżka ataku omija „korowe” kontrole (PCI segment), wykorzystuje zapomniane peryferia.
  • Narracja SLH: federacyjny „brand” łączący TTPs i PR – widzieliśmy to przy kampaniach wymierzonych w integracje Salesforce w 2025 r. (publiczne „listy ofiar”, taktyki nagłaśniania).

Podsumowanie / kluczowe wnioski

  1. Największym ryzykiem nie był core processing, lecz „osierocone” zasoby chmurowe – klasyczny błąd operacyjny. 2) Dane onboardingowe i operacyjne mają znaczną wartość dla przestępców (fraud B2B, BEC, socjotechnika). 3) Model extortion-only wymaga osobnych playbooków IR (szybka inwentaryzacja danych, komunikacja, TPRM). 4) Decommissioning-by-design i centralny rejestr vendorów to obowiązkowy element higieny chmury. 5) Postawa „no-pay + darowizna” buduje narrację odporności, ale nie zastąpi twardych kontroli technicznych.

Źródła / bibliografia

  • Oświadczenie CTO Checkout.com (legacy 3rd-party storage, <25% merchant base, brak kart/środków, darowizna na CMU/Oxford). (Checkout)
  • SecurityWeek: podsumowanie incydentu i przypisanie do ShinyHunters, kontekst SLH. (SecurityWeek)
  • BleepingComputer: brak wskazania konkretnego dostawcy storage, potwierdzenie decyzji o darowiźnie zamiast okupu. (BleepingComputer)
  • The Register: relacja z cytatami deklaracji „We will not pay this ransom”. (The Register)
  • Trustwave SpiderLabs: analiza fenomenu Scattered LAPSUS$ Hunters i ich TTPs (kontekst kampanii 2025). (Trustwave)

Krytyczna luka w WatchGuard Firebox (CVE-2025-9242) jest aktywnie wykorzystywana. Jak się bronić?

Wprowadzenie do problemu / definicja luki

W urządzeniach WatchGuard Firebox (system Fireware OS) wykryto lukę CVE-2025-9242 o krytycznym poziomie ryzyka (CVSS 9.3), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia poprzez błąd out-of-bounds write w procesie iked (obsługa IKEv2/IPsec dla Mobile User VPN i Branch Office VPN). CISA dodała już podatność do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnego wykorzystywania w atakach.

W skrócie

  • Co: Out-of-bounds write w iked (IKEv2), prowadzący do RCE bez uwierzytelniania.
  • Kogo dotyczy: Fireware OS 11.10.2–11.12.4_U1, 12.0–12.11.3, 2025.1 (różne modele Firebox). Naprawione w 2025.1.1, 12.11.4, 12.5.13 (T15/T35), 12.3.1_Update3 (B722811); gałąź 11.x – EoL.
  • Wejście atakującego: Ruch IKEv2 z Internetu na UDP/500 i UDP/4500 (NAT-T).
  • Status: Aktywnie wykorzystywana; CISA/KEV wymaga szybkiej aktualizacji.
  • Ekspozycja: Shadowserver raportował >73k niezałatanych Fireboxów widocznych w Internecie w październiku.

Kontekst / historia / powiązania

WatchGuard opublikował poradnik PSIRT 17 września 2025 r., a 21 października 2025 r. zaktualizował go o wskaźniki ataku (IoA) i zalecenie rotacji lokalnie przechowywanych sekretów (np. hasła, pre-shared keys) „z ostrożności”, po sygnałach o realnych próbach eksploatacji. 13 listopada 2025 r. dołączenie do CISA KEV potwierdziło etap aktywnego nadużycia.

Równolegle watchTowr opublikował techniczną analizę i reprodukcję błędu, ułatwiającą zrozumienie prymitywu pamięci, który stoi za RCE.

Analiza techniczna / szczegóły luki

Wejście: komunikaty IKE_AUTH w trakcie zestawiania IKEv2. Błąd out-of-bounds write w implementacji iked można wywołać manipulując polami ładunku IDi (identyfikator inicjatora) – udokumentowanym wskaźnikiem podejścia jest nienaturalnie duży rozmiar IDi (>100 bajtów) w logach diagnostycznych. Udana eksploatacja może spowodować zawieszenie lub crash procesu iked, a w wektorze RCE – wykonanie kodu w kontekście urządzenia.

Warunek konfiguracji: Podatność dotyczy Mobile User VPN (IKEv2) i BOVPN (IKEv2) z dynamicznym peerem. Co istotne, nawet po usunięciu takich konfiguracji urządzenie może pozostać podatne, jeśli nadal istnieje BOVPN do statycznego peera.

Zakres wersji i poprawki: jw. (sekcja „W skrócie”). Gałąź 11.x jest EoL – brak poprawek producenta.

Dowody wykorzystania: wpis w CISA KEV oraz doniesienia branżowe; SecurityWeek wskazuje na decyzję CISA nakazującą pilną aktualizację w instytucjach federalnych (BOD 22-01).

Praktyczne konsekwencje / ryzyko

  • Przejęcie perymetru: RCE na firewallu = pełna kontrola nad ruchem, podsłuch/mitm, pivot do sieci wewnętrznej.
  • Wyłączenie VPN / zakłócenia: zawieszanie/crash iked przerywa tunele BOVPN i dostęp zdalny.
  • Masowa skala ataku: dziesiątki tysięcy urządzeń w Internecie, atrakcyjny cel dla ransomware/APT (brak uwierzytelnienia, stałe UDP).

Rekomendacje operacyjne / co zrobić teraz

0) Priorytet i okno serwisowe
Traktuj jako P1. Zaplanuj szybkie prace: upgrade + rotacja sekretów.

1) Szybka inwentaryzacja i wykrywanie

  • Zidentyfikuj wszystkie Fireboxy z interfejsem WAN mającym UDP/500 i UDP/4500 otwarte do Internetu.
  • Sprawdź wersję Fireware OS i konfigurację VPN (czy używasz IKEv2 oraz dynamic peers).
  • Przejrzyj logi iked pod kątem IoA od WatchGuard: „IKE_AUTH request … IDi(sz=…>100)”, zawieszenia lub crashe iked. (Włącz poziom Info dla diagnostyki iked, jeśli to konieczne).

Przykładowe zapytania (do szybkiego łapania IoA w SIEM):

  • Syslog / Splunk index=network_logs sourcetype=watchguard:iked "IKE_AUTH request" IDi(sz=* | rex "IDi\\(sz=(?<idi>\d+)\\)" | where tonumber(idi) > 100
  • Elastic (KQL) message : "*IKE_AUTH request*" and message : "*IDi(sz=*"
  • tcpdump – szybka inspekcja IKEv2 (porty i długości) Uwaga: rozmiary payloadów IKEv2 nie są „z pudełka” parsowane; użyj do triage’u i korelacji z logami. tcpdump -ni any udp port 500 or udp port 4500

2) Aktualizacja (remediacja właściwa)

  • Zaktualizuj do 2025.1.1 / 12.11.4 / 12.5.13 / 12.3.1_Update3 zgodnie z tabelą WatchGuard PSIRT. Dla 11.x – wymiana/upgrade platformy (EoL, brak łat). Po aktualizacji zrestartuj i zweryfikuj wersję.

3) Rotacja sekretów (po aktualizacji)

  • WatchGuard zaleca rotację wszystkich lokalnie przechowywanych sekretów (hasła, PSK, klucze) „z ostrożności”. Zacznij od PSK dla BOVPN/MUVPN oraz haseł administratorów.

4) Dodatkowe twardnienie i ograniczenie powierzchni ataku

  • Dostęp IKEv2 tylko z zaufanych adresów (listy peerów/ACL na brzegowym FW/WAF, o ile architektura pozwala).
  • Rate-limit dla UDP/500, 4500 na zewnętrznych interfejsach (nftables/iptables) – utrudnia bruteforce i rozpoznanie: # nftables – ratelimiting IKEv2 (przykład) nft add table inet edge nft add chain inet edge input { type filter hook input priority 0 \; } nft add rule inet edge input udp dport {500,4500} ct state new limit rate 20/second accept nft add rule inet edge input udp dport {500,4500} drop
  • Monitoring integralności i wysoki poziom logowania iked przynajmniej tymczasowo.

5) Doraźne obejścia (gdy nie możesz od razu patchować)

  • Jeśli używasz wyłącznie BOVPN do statycznych peerów, zastosuj wytyczne producenta dot. „Secure Access to BOVPN IKEv2” jako tymczasowe ograniczenie ryzyka. (Nie zastępuje aktualizacji!)

6) Wykrywanie w sieci (IDS/IPS) – przykładowa reguła Suricata

Heurystyka: nieproporcjonalnie duże IDi w IKE_AUTH. Reguła orientacyjna – wymaga testów i dostrojenia w danym środowisku.

alert udp any any -> $HOME_NET [500,4500] (
  msg:"IKEv2 anomaly: oversized IDi in IKE_AUTH (WatchGuard CVE-2025-9242 heuristic)";
  flow:to_server;
  dsize:>600;               # heurystyczny próg długości pakietu
  content:"|2f|"; offset:0; depth:1;  # IKEv2 major/minor wersja w pierwszym bajcie: 0x2F (IKE_SA?); DEMO
  classtype:attempted-admin; sid:25259242; rev:1;
)

(IKEv2 nie ma banalnego „sygnaturowego” pola dla IDi bez pełnego parsowania – potraktuj to jako punkt startowy do własnej inspekcji).

7) Skany zewnętrzne / wykrywacze

  • Zespół watchTowr udostępnił skrypt pomocniczy do weryfikacji podatności (detekcja warunku wersji/konfiguracji) – używaj wyłącznie we własnej infrastrukturze.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Charakter wektora: podobnie jak dawne łańcuchy RCE w Fortinet/Citrix, tutaj także mamy unauthenticated edge RCE na urządzeniu brzegowym. Różnica: specyfika IKEv2 i prymityw pamięci w iked.
  • Stan publicznych PoC: w chwili pisania brak szeroko dostępnego, w pełni działającego PoC RCE; istnieją analizy i reprodukcje badaczy (watchTowr), a CISA raportuje realne wykorzystanie. To klasyczny etap „patch now, ask later”.

Podsumowanie / kluczowe wnioski

  1. CVE-2025-9242 to krytyczna luka RCE w WatchGuard Firebox/Fireware OS w komponencie IKEv2 (iked).
  2. Jest aktywnie wykorzystywana; CISA wpisała ją do KEV – traktuj jako incydent prewencyjny o najwyższym priorytecie.
  3. Aktualizuj do wersji naprawionych i rotuj sekrety; dla EoL 11.x – zaplanuj wymianę.
  4. Zastosuj dodatkowe kontrole (ACL/ratelimity/monitoring IoA) do czasu pełnego wdrożenia poprawek.
  5. Weryfikuj logi iked pod kątem anomalii (duży IDi) oraz stabilność procesu – to praktyczne IoA od producenta.

Źródła / bibliografia

  1. WatchGuard PSIRT – „WatchGuard Firebox iked Out of Bounds Write Vulnerability (WGSA-2025-00015)” – zakres wersji, IoA, zalecenia (akt. 7 XI i 21 X 2025). (watchguard.com)
  2. CISA – Alert/KEV: dodanie CVE-2025-9242 jako aktywnie wykorzystywanej (13 XI 2025). (CISA)
  3. SecurityWeek – „Critical WatchGuard Firebox Vulnerability Exploited in Attacks” (13 XI 2025). (SecurityWeek)
  4. Shadowserver – obserwacje skali ekspozycji (73k+ niezałatanych Fireboxów). (SecurityWeek)
  5. watchTowr labs – analiza techniczna i reprodukcja błędu IKEv2/iked. (watchTowr Labs)

Washington Post: wyciek danych prawie 10 tys. pracowników po ataku przez lukę w Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

„The Washington Post” poinformował o naruszeniu danych obejmującym 9 720 obecnych i byłych pracowników oraz kontraktorów. Atakujący uzyskali dostęp do środowiska ERP gazety wykorzystując wtedy nieznaną (zero-day) podatność w Oracle E-Business Suite (EBS), a następnie wykradli dane i podjęli próbę wymuszenia okupu. Do incydentu doszło w okresie 10 lipca – 22 sierpnia 2025 r., a jego potwierdzenie nastąpiło po dochodzeniu zakończonym 27 października 2025 r.. Wykradzione informacje obejmują imiona i nazwiska, numery kont i routingu bankowego oraz numery Social Security / NIP-y.

Według zgodnych relacji mediów branżowych, za kampanię stoi grupa Cl0p, znana z masowych ataków na łańcuch dostaw i operacje typu data theft + extortion.

W skrócie

  • Kogo dotyczy: prawie 10 tys. osób powiązanych z Washington Post (pracownicy, byli pracownicy, kontraktorzy).
  • Co wyciekło: dane tożsamości + wrażliwe dane finansowe (kont bankowych) oraz SSN/Tax ID.
  • Wektor ataku: pre-auth RCE w Oracle EBS wykorzystywana jako 0-day (CVE-2025-61882) i powiązana luka CVE-2025-61884 (przerwanie łańcucha eksploatacji).
  • Taktyka przeciwnika: cicha infiltracja, eksfiltracja danych HR/finansowych, następnie szantaż mailowy kierowany do kierownictwa.
  • Czas wykrycia: sygnałem były wiadomości od „bad actor” z 29 września; organizacja powiązała je z podatnością ujawnioną przez Oracle w październiku.

Kontekst / historia / powiązania

Kompromitacja Washington Post to element szerszej kampanii wymierzonej w klientów Oracle EBS. Oracle opublikował Alert bezpieczeństwa dla CVE-2025-61882 (pre-auth RCE) 4 października 2025 r., a następnie kolejną łatę dla CVE-2025-61884, co miało utrudnić łańcuch nadużyć. W tle firmy zgłaszały zmasowane maile z żądaniami okupu i groźbami publikacji danych. Analizy Google Cloud Threat Intelligence wskazują, że aktywność napastników zaczęła się najpóźniej na początku sierpnia, a ślady sięgają 10 lipca 2025 r.—czyli zanim patch był dostępny.

Analiza techniczna / szczegóły luki

Co to za podatności?

  • CVE-2025-61882zdalne wykonanie kodu bez uwierzytelnienia w komponencie Oracle E-Business Suite / Concurrent Processing (BI Publisher Integration). Eksploatacja możliwa z poziomu sieci bez konta użytkownika. CVSS wysoki/krytyczny.
  • CVE-2025-61884 – kolejna krytyczna luka w EBS, również pre-auth, opublikowana po wzmożonych atakach, aby zatrzymać łańcuch exploitów wykorzystywany przez przestępców.

Niezależne raporty badaczy (Google Cloud) łączą kampanię z Cl0p i opisują etapową eksploatację: wejście do aplikacji EBS przez 0-day, zagnieżdżenie w warstwie aplikacyjnej, eksfiltrację plików HR/finansowych oraz mailową eskalację żądań do kadry kierowniczej. W wielu organizacjach napastnicy działali tygodniami, zanim Oracle opublikował poprawki.

Dlaczego EBS jest tak atrakcyjnym celem?

EBS scala krytyczne procesy (HR, kadry-płace, finanse, łańcuch dostaw). Dostęp aplikacyjny = dostęp do baz danych z danymi płacowymi i identyfikatorami podatkowymi. To „złoto” dla operacji kradzieży tożsamości i przejęć wynagrodzeń (payroll diversion).

Jak mogła wyglądać ścieżka ataku (model uproszczony)?

  1. Wejście: zdalny exploit (pre-auth RCE) w EBS.
  2. Utrwalenie: artefakty w katalogach aplikacji / jobach „Concurrent Processing”, ew. zmiany w szablonach raportów.
  3. Eksfiltracja: bezpośrednio z serwera app/DB lub przez zadania raportowe (BI Publisher).
  4. Szantaż: e-maile do C-level/Legal z próbką danych i żądaniem okupu.

Praktyczne konsekwencje / ryzyko

Dla osób, których dane wyciekły:

  • Ryzyko kradzieży tożsamości (SSN/Tax ID), fraudów finansowych (numery kont/routing), ataków socjotechnicznych (targeted phishing). Washington Post oferuje 12–24 mies. monitoringu tożsamości (IDX).

Dla organizacji korzystających z Oracle EBS:

  • Ryzyko masowe: identyczny wektor dostępny przeciwko setkom instalacji (character of 0-day + szerokie wdrożenia).
  • Ryzyko regulacyjne: obowiązki notyfikacyjne (AG, regulatorzy sektorowi), możliwe pozwy zbiorowe.

Rekomendacje operacyjne / co zrobić teraz

Poniższe kroki można potraktować jako checklistę IR/defense dla zespołów SecOps/IT-ERP.

1) Natychmiastowe łatanie i twardnienie

  • Zastosuj łatę Oracle dla CVE-2025-61882 oraz CVE-2025-61884 (właściwy alert + CPU Oct 2025). Zweryfikuj poziom łat w każdym środowisku (prod/UAT/dev).
  • Włącz WAF/IPS z regułami wirtualnego łatania dla znanych wzorców żądań do komponentów EBS (BI Publisher/Concurrent Processing).
  • Ogranicz dostęp z internetu – EBS powinien być publikowany wyłącznie przez bramę z kontrolą tożsamości/segregacją i DLP.

2) Okno dochodzeniowe i triage

Oracle oraz niezależne analizy wskazują na aktywność napastników od lipca–sierpnia 2025. Przejrzyj logi od 1 lipca 2025 r. do dziś.
Minimalny zestaw artefaktów do sprawdzenia:

  • Logi HTTP/app serwera EBS (nietypowe błędy XSL/XDO, wywołania raportów, uploady szablonów).
  • Harmonogram „Concurrent Manager” – nowe/zmodyfikowane joby, zwłaszcza te uruchamiane przez konta techniczne.
  • Ślady eksfiltracji (duży outbound z app tier, połączenia do nietypowych hostów).
  • Konta uprzywilejowane – świeże dodania / zmiany haseł / eskalacje ról.

3) Szybkie reguły detekcyjne (przykłady)

Splunk (HTTP access – anomalie względem BI Publisher / XDO):

index=web OR index=ebs_logs sourcetype=access_combined
("xmlpserver" OR "xdo" OR "bipublisher")
| stats count avg(bytes) sum(bytes) values(status) by src, uri_path, http_method
| where count > 50 OR sum(bytes) > 50000000

Elastic/KQL (egress z hostów app EBS):

host.name : ("ebs-app-*") and
destination.bytes >= 10485760 and
not destination.ip in (internal_ranges)

Sigma (modyfikacja szablonów/artefaktów EBS – przykład ogólny):

title: Oracle EBS Suspicious BI Publisher Template Change
logsource:
  product: linux
  service: auditd
detection:
  selection:
    evt.type: "PATH"
    file.path|contains:
      - "/xmlpserver/" 
      - "/xdo/" 
  condition: selection
level: medium

Uwaga: ścieżki/artefakty dopasuj do konkretnej instalacji EBS (nazwa instancji, katalogi custom). Celem jest szybkie wyłapanie nietypowych modyfikacji.

4) Ochrona danych osobowych (HR/Payroll)

  • Rotacja tajemnic: hasła DB, konta integracyjne, klucze API do systemów płacowych.
  • Zamrożenie zmian płatniczych i weryfikacja na dwóch kanałach dla dyspozycji dot. kont wynagrodzeń.
  • Notyfikacja i wsparcie: zaoferuj monitoring kredytowy/kradzieży tożsamości – tak, jak zrobił Washington Post (IDX).

5) Długofalowe kontrole

  • Segmentacja: EBS w osobnej strefie, minimalny ruch do/z Internetu, egress ograniczony listami FQDN.
  • SBOM/asset inventory dla ERP i proces „patch SLO” z testowaniem off-cycle (poza CPU).
  • Kontrola zmian EBS – śledzenie szablonów BI Publisher, jobów „Concurrent Processing”, ról EBS (alerting na odchylenia).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Atak na EBS przypomina kampanię Cl0p na MOVEit (2023)ten sam wzorzec: 0-day w popularnym produkcie, szybka eksfiltracja, szantaż masowy. Różnica: w EBS stawką są pełne rekordy HR/finansowe (SSN + konta bankowe), co eskaluje ryzyko w porównaniu z wieloma „typowymi” wyciekami PII. Doniesienia mówią także o żądaniach do 50 mln USD, co podkreśla presję finansową na ofiary.

Podsumowanie / kluczowe wnioski

  • Wysoka krytyczność: pre-auth RCE w systemie klasy ERP = natychmiastowy priorytet łatania i monitoringu.
  • Długi dwell time 0-day: aktywność trwała przed publikacją łat, więc okno dochodzeniowe musi być szerokie (min. od lipca 2025).
  • Konsekwencje realne, nie hipotetyczne: wyciek SSN i danych bankowych zwiększa ryzyko fraudów – wdrożyć procesy anty-fraud w HR/Payroll.
  • Nie tylko jedna ofiara: kampania ma charakter seryjny – jeśli masz EBS, załataj, przeszukaj, utwardź.

Źródła / bibliografia

  1. BleepingComputer – szczegóły incydentu, skala, typy danych, przebieg czasowy. (BleepingComputer)
  2. Pismo notyfikacyjne Washington Post do poszkodowanych (CA OAG) – daty, zakres danych, działania naprawcze.
  3. Oracle Security Alert – CVE-2025-61882 (pre-auth RCE w EBS). (Oracle)
  4. Google Cloud Threat Intelligence – oś czasu ataków na EBS i atrybucja kampanii. (Google Cloud)
  5. CyberScoop – kontekst kampanii Cl0p wobec klientów Oracle i zakres wycieku w WP. (CyberScoop)

#StopRansomware: Akira – aktualizacja 13.11.2025. Nowe TTP, wektory wejścia przez SonicWall i ataki na Nutanix AHV

Wprowadzenie do problemu / definicja luki

13 listopada 2025 r. opublikowano zaktualizowaną wspólną poradę (#StopRansomware) dot. grupy Akira. Dokument (AA24-109A) ostrzega o pilnym zagrożeniu dla infrastruktury krytycznej, nowych technikach oraz wskaźnikach kompromitacji (IOC). Najistotniejszy wątek: wejście przez urządzenia VPN (szczególnie SonicWall, CVE-2024-40766) i rozszerzenie szyfrowania na maszyny wirtualne Nutanix AHV, obok już znanych ataków na VMware ESXi/Hyper-V.

W skrócie

  • Wejście: nadużycie urządzeń VPN (m.in. SonicWall, CVE-2024-40766), podatnych usług/urządzeń brzegowych, nie-MFA, spearphishing, hasła wyciekłe/wypryskiwane (password spraying).
  • Rozszerzenie celu: pierwsze potwierdzone szyfrowanie dysków Nutanix AHV (czerwiec 2025).
  • TTP: nltest do odkrywania domen, Impacket/wmiexec, zdalne narzędzia (AnyDesk/LogMeIn), wyłączanie EDR, BYOVD/terminowanie AV.
  • Skala zysków: ~244,17 mln USD do IX 2025 r. (zgłoszenia śledcze FBI).

Kontekst / historia / powiązania

Akira działa co najmniej od marca 2023 r., początkowo Windows + rozszerzenie .akira, potem Megazord (Rust, rozszerzenie .powerranges) oraz Akira_v2; cele na wielu kontynentach i sektorach (produkcja, edukacja, IT, zdrowie, finanse, F&A). Autorzy łączą Akirę z aliasami Storm-1567/Howling Scorpius/Punk Spider/Gold Sahara i możliwymi koneksjami do upadłej Conti.

Od połowy 2025 r. obserwowano kampanię przeciw SonicWall SSL VPN – potwierdzoną też przez CERT-y/branżę (ACSC/ASD, vendor SonicWall, analizy Darktrace/Arctic Wolf).

Analiza techniczna / szczegóły luki

Wejście (Initial Access)

  • VPN bez MFA i znane CVE w produktach sieciowych, w tym Cisco (np. CVE-2020-3259, CVE-2023-20269), oraz SonicWall CVE-2024-40766. Dodatkowo Veeam (CVE-2023-27532, CVE-2024-40711). Często password spraying (np. SharpDomainSpray), RDP, kradzież poświadczeń, a także SSH przez router z publicznym IP.

Przykładowe zapisy do detekcji (Sigma, logon VPN SonicWall – event nieudany/udany z nietypowego ASN/geo):

title: SonicWall SSLVPN Suspicious Geo ASN Login
logsource:
  product: sonicwall
  service: sslvpn
detection:
  selection:
    outcome: success
  filter_geo:
    src_country|contains:
      - 'CN'
      - 'RU'
      - 'BR'
  condition: selection and filter_geo
level: medium
tags: [attack.t1110, initial-access]

Wykonanie (Execution)

  • Częste użycie VBScript do wykonywania poleceń i automatyzacji.

Trwałość / Ruch rozpoznawczy

  • Tworzenie nowych kont domenowych (spotykana nazwa itadm), Kerberoasting, zrzut LSASS (Mimikatz/LaZagne), skanowanie (SoftPerfect/Advanced IP Scanner/NetScan), polecenia net oraz nltest /dclist, nltest /DOMAIN_TRUSTS.

Szybki „hunt” w Windows (PowerShell):

# Nowo utworzeni członkowie Domain Admins w 7d
Get-ADGroupMember "Domain Admins" |
  ForEach-Object { Get-ADUser $_ -Properties whenCreated } |
  Where-Object { $_.whenCreated -gt (Get-Date).AddDays(-7) } |
  Select-Object Name, SamAccountName, whenCreated

# Artefakty net/nltest w PowerShell Operational (ID 4104/4103) i Security 4688
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
  Where-Object {$_.Message -match 'nltest|net.exe'}

Unikanie obrony / Lateral Movement

  • PowerTool + podatny sterownik (BYOVD) do zabijania procesów AV/EDR (m.in. wyłączenie Defendera), nadużycie AnyDesk/LogMeIn, Impacket wmiexec.py, odinstalowanie EDR przed szyfrowaniem.

Szyfrowanie / Wpływ na wirtualizację

  • Po ESXi/Hyper-V, czerwiec 2025: szyfrowanie dysków VM Nutanix AHV – istotna zmiana dla środowisk HCI.

Praktyczne konsekwencje / ryzyko

  • Urządzenia brzegowe (SonicWall) stają się „jednym kliknięciem” do sieci wewnętrznej – nawet z MFA (doniesienia o przejętych seedach OTP/artefaktach pozwalających omijać MFA). Uderza to w model „MFA-i-po-sprawie”.
  • Wirtualizacja: przejście z ESXi/Hyper-V na Nutanix AHV rozszerza powierzchnię ataku i podnosi koszt RTO/RPO przy incydencie.
  • Utrudniona detekcja przez nadużycie legalnych narzędzi, wyłączanie EDR i użycie Impacket w ruchu bocznym.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast załataj i utwardź SonicWall (CVE-2024-40766), zresetuj poświadczenia SSL VPN, rozważ rotację/ponowną rejestrację sekretów OTP/MFA; zaktualizuj do najnowszego SonicOS 7.3.x, zastosuj zalecenia producenta.
  2. Wymuś phishing-resistant MFA (FIDO2/WebAuthn) oraz blokady po wielu nieudanych próbach; ogranicz wskazówki haseł, nie wymuszaj zbyt częstych zmian (zgodnie z NIST), ale wymuś rotację po incydencie VPN.
  3. Segmentacja i zasada najmniejszych uprawnień (kontrola przepływów, izolacja serwerów zarządzania hipernadzorcą/backupem).
  4. Kopie offline + testy odtwarzania (szczególnie VM AHV/ESXi/Hyper-V i repozytoria Veeam).
  5. Monitoring anomalii sieciowych i EDR: wykrywaj nltest/net, wmiexec/Impacket, instalacje AnyDesk/LogMeIn, próby deinstalacji EDR. (Patrz sekcja „hunt”.)
  6. Blokuj narzędzia BYOVD (wdrożenia HVCI/Blocklist sterowników Microsoft, AppControl), monitoruj ładowanie nietypowych sterowników (Sysmon ID 6).
  7. Dodatkowe źródła IOC i ATT&CK mapping – pobierz STIX z aktualizacji AA24-109A i wprowadź do SIEM/SOAR.

Przykładowe reguły (Sysmon/Sigma) – Impacket & nltest:

title: Impacket WMIExec Child Of Python
logsource: { product: windows, service: sysmon }
detection:
  sel1: { EventID: 1, ParentImage|endswith: '\python.exe', Image|endswith: '\wmic.exe' }
  sel2: { EventID: 3, DestinationPort: 135 }  # DCOM
  condition: sel1 or sel2
level: high
tags: [attack.t1047, lateral-movement]

---
title: Domain Discovery with nltest
logsource: { product: windows, service: security }
detection:
  sel: { EventID: 4688, NewProcessName|endswith: '\nltest.exe' }
  condition: sel
level: medium
tags: [attack.t1018,t1482]

Przykładowe zapory/SDN – ogranicz RDP/SMB/WMI do stref adminów:

# Linux nftables - blokuj SMB z podsieci użytkowników do serwerów
nft add rule inet filter forward ip saddr 10.20.0.0/16 ip daddr 10.30.10.0/24 tcp dport {445,139} drop

Różnice / porównania z innymi przypadkami

  • LockBit/ALPHV długo stawiały głównie na ESXi/Hyper-V; Akira jako jedna z pierwszych operacji potwierdzenie ataków na Nutanix AHV, co wymusza aktualizację playbooków IR/BCP dla HCI.
  • Akcent na SonicWall SSL VPN – rzadziej spotykany tak skoncentrowany wektor u konkurencyjnych grup w 2025 r.; zbieżne ostrzeżenia rządowe (ACSC) i vendor.

Podsumowanie / kluczowe wnioski

  1. Brzeg (VPN) to główna brama – łataj i rotuj sekrety. 2) AHV jest już na celowniku – ćwicz odtwarzanie VM poza hipernadzorcą. 3) Detekcja TTP (Impacket/nltest/AnyDesk) i ochrona przed BYOVD muszą być obowiązkowym elementem. 4) Wdróż MFA odporne na phishing i egzekwuj najmniejsze uprawnienia. 5) Pobierz i wprowadź IOC z AA24-109A (STIX).

Źródła / bibliografia

  1. FBI/CISA/DC3/HHS/EC3/NCSC-NL i in., #StopRansomware: Akira Ransomware – aktualizacja 13.11.2025 (AA24-109A). Zawiera TTP/IOC, MITRE ATT&CK i zalecenia.
  2. CISA – strona poradnika AA24-109A (mirror + opis aktualizacji). (CISA)
  3. ACSC/ASD – alert dot. aktywnej eksploatacji CVE-2024-40766 (SonicWall) i powiązania z Akirą. (Cyber.gov.au)
  4. SonicWall – komunikat producenta nt. zagrożeń dla Gen7 i SSLVPN oraz działań naprawczych. (SonicWall)
  5. BleepingComputer – wzmianka o szyfrowaniu Nutanix AHV przez Akirę (potwierdzenie trendu z AA24-109A). (BleepingComputer)

Policja rozbija infrastrukturę Rhadamanthys, VenomRAT i botnetu Elysium (Operation Endgame)

Wprowadzenie do problemu / definicja luki

W dniach 10–14 listopada 2025 r. międzynarodowe służby ścigania przeprowadziły kolejną fazę Operation Endgame, wymierzoną w trzy istotne elementy ekosystemu cyberprzestępczego: Rhadamanthys (info-stealer), VenomRAT (RAT) oraz Elysium (botnet/infrastruktura C2). W wyniku działań przejęto 20 domen, zakłócono lub wyłączono 1 025 serwerów C2, przeszukano 11 lokalizacji oraz aresztowano kluczowego podejrzanego w Grecji powiązanego z VenomRAT. Organy ścigania podkreślają skalę szkód: setki tysięcy zainfekowanych komputerów i kilka milionów skradzionych poświadczeń, w tym dostęp do >100 000 portfeli kryptowalutowych ofiar.

W skrócie

  • Co się wydarzyło: skoordynowany takedown infrastruktury trzech rodzin malware (C2/domeny/serwery, przeszukania, areszt).
  • Kluczowe liczby: 1 025 serwerów, 20 domen, 11 przeszukań; jedna osoba zatrzymana (Grecja, 3 listopada 2025 r.).
  • Kogo to dotyczy: ofiary info-stealera Rhadamanthys, zdalnych przejęć przez VenomRAT i urządzeń wpiętych do botnetu Elysium; przedsiębiorstwa z USA/DE/UK/NL miały największą koncentrację C2 dla Rhadamanthys wg Black Lotus Labs.
  • Dlaczego to ważne: ogranicza zdolność przestępców do monetyzacji danych uwierzytelniających i utrudnia kampanie ransomware (Endgame celuje w łańcuch dostaw cyberprzestępczości).

Kontekst / historia / powiązania

Operation Endgame to seria skoordynowanych akcji (2024–2025) ukierunkowanych na loader’y, botnety i zaplecze C2 dla gangów ransomware. Wcześniejsze etapy obejmowały m.in. zakłócenie IcedID, Bumblebee, Pikabot, TrickBot, SystemBC i innych, a łączne przejęcia środków sięgają dziesiątek milionów euro. Najnowsza tura („Endgame 3.0”) rozszerza presję na stealery i RAT-y, czyli narzędzia do inicjalnego dostępu i kradzieży tożsamości.

Analiza techniczna / szczegóły luki

Rhadamanthys (info-stealer, MaaS)

  • Funkcje: kradzież haseł/cookies/tokenów, danych przeglądarek i portfeli krypto; panele webowe (MaaS) oraz rozległa sieć C2.
  • Skala: wg Lumen Black Lotus Labs średnio ~300 aktywnych serwerów C2 dziennie (szczyt 535 w X.2025); >60% C2 było niewidocznych w VirusTotal, co tłumaczyło dużą liczbę ofiar. W październiku 2025 r. wykrywano średnio >4 000 unikalnych IP ofiar dziennie.
  • Obserwacje powiązane z takedownem: utrata dostępu do paneli przez klientów MaaS; baner przejęcia na serwisach Rhadamanthys.

VenomRAT (Remote Access Trojan)

  • Funkcje: keylogging, zdalne sterowanie, kradzież kluczy API i danych portfeli, możliwość nadużywania kamery/mikrofonu; sprzedawany w modelu subskrypcyjnym.
  • Egzekucja prawa: areszt głównego podejrzanego w Atenach 3 listopada 2025 r. – z zabezpieczeniem kodu źródłowego, materiałów promocyjnych i portfeli krypto; śledztwo prowadzone m.in. przez Francję i USA.

Elysium (botnet/infrastruktura)

  • Rola: infrastruktura pośrednicząca w C2 i dystrybucji ładunków, ułatwiająca pivoting i ukrywanie prawdziwych paneli.
  • Efekt operacji: odcięcie węzłów C2 i domen wykorzystywanych do zarządzania zainfekowanymi hostami.

Skala szkód i dowody

  • Setki tysięcy zainfekowanych urządzeń, miliony poświadczeń; dostęp do >100 000 portfeli krypto ofiar (jeszcze nieopróżnionych). Dane o ofiarach trafiają do serwisów powiadamiających (NL CheckYourHack / Have I Been Pwned).

Praktyczne konsekwencje / ryzyko

  • Krótko- i średnioterminowe: spadek skuteczności bieżących kampanii opartych na tych narzędziach; utrudniona odsprzedaż świeżych dumpów credentiali; chwilowa redukcja spam/runów loaderów.
  • Długoterminowe: rekonfiguracja ekosystemu – migracja aktorów do innych MaaS/RAT, odtwarzanie C2 w nowych AS/hostingach, rebranding malware. Historia pokazuje, że po takedownach następuje odbudowa w 2–8 tygodni, ale z kosztami dla przestępców (skasowane panele, utrata bazy klientów, utrata reputacji). (Wniosek na podstawie trendów opisanych w raportach Endgame z 2024–2025).
  • Ryzyko wtórne: dane ofiar pozostają w obiegu (combo-listy, logi), więc account takeover i fraudy są nadal możliwe – konieczne są rotacje haseł i monitorowanie sesji.

Rekomendacje operacyjne / co zrobić teraz

1) Weryfikacja ekspozycji i kont ofiar

  • Sprawdź, czy adresy e-mail/urządzenia użytkowników figurowały w dumpach Endgame:
    • NL CheckYourHack (zestaw „November 2025 – Endgame (Rhadamanthys)”).
    • Have I Been Pwned (jeśli partnerstwo obejmuje dane z tej fazy).

2) Hunting sieciowy – artefakty C2/infostealer

Poniżej przykładowe, bezpieczne zapytania do SIEM (dostosuj do swojego telemetry):

Sigma (proxy/DNS) – podejrzane panele Rhadamanthys/Elysium

title: Suspicious Panel Access Potentially Related to Info-Stealer C2
logsource: { category: proxy }
detection:
  selection:
    cs-method|endswith: '/gate'  # często używane ścieżki paneli
    cs-host|re: '(?i)(admin|panel|login)[\.-].*'
  condition: selection
falsepositives: high
level: medium

Zeek – anomalia JA3/JA3S (RAT/Stealer)

# przykładowe pivoty na niestandardowe zestawy szyfrów
cat ssl.log | zeek-cut id.resp_p ja3 | awk '{count[$2]++} END {for (j in count) if (count[j]>50) print j, count[j]}' | sort -nr

Suricata – heurystyka POST do świeżo zarejestrowanych domen

alert http any any -> $EXTERNAL_NET any (msg:"Heuristic exfil via recent domain"; http.method; content:"POST"; nocase; pcre:"/Host:\s([a-z0-9-]+\.)+[a-z]{2,}$/Hi"; threshold: type both, track by_dst, count 50, seconds 60; classtype:policy; sid:4000011; rev:1;)

3) Endpoint & przeglądarki – detekcja i czyszczenie

  • Windows (PowerShell): sprawdź typowe lokalizacje persistencji (Run Keys, Startup, Scheduled Tasks) oraz nietypowe rozszerzenia w %AppData%:
# Autoruns - klucze Run
Get-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run','HKLM:\...\Run' | Format-List
# Zaplanowane zadania z nieznanych ścieżek
Get-ScheduledTask | ? {$_.TaskPath -notmatch '\\Microsoft\\'} | Select TaskName, TaskPath
# Nietypowe pliki w AppData
Get-ChildItem "$env:APPDATA" -Recurse -ErrorAction SilentlyContinue | ? {$_.Extension -in ".tmp",".dat",".log",".scr",".cmd",".vbs",".js"}
  • Przeglądarki: wymuś unieważnienie tokenów (SSO/OAuth), wylogowanie sesji i rotację haseł menedżerów przeglądarek.

4) IAM & konta uprzywilejowane

  • Reset haseł (wymuś aktualizację po następnym logowaniu), MFA-reset dla użytkowników z podejrzaną telemetrią logowania.
  • Blokuj logowanie „impossible travel”, włącz step-up MFA przy ryzyku średnim/wysokim (Conditional Access).

5) Hardening i prewencja

  • Attachment Sandboxing i link rewriting w secure email gateway (stealery często startują od phishu).
  • AppLocker/WDAC – blokowanie uruchomień z %AppData%, %Temp%, %ProgramData%.
  • EDR: reguły na mass credential access (LSASS handle open, DPAPI blob access, enumeracja profili przeglądarek).

6) Komunikacja z użytkownikami

  • Wyślij jasny komunikat do pracowników: możliwa ekspozycja haseł i cookies; opisz proces rotacji i weryfikacji urządzeń.

Różnice / porównania z innymi przypadkami

  • Qakbot (2023) i TrickBot/Emotet (wcześniej) – silny efekt chwilowy, ale nastąpiła reassembly innej infrastruktury. Endgame od 2024 r. uderza systemowo w łańcuch dostaw (loadery, serwery, panele, domeny) zamiast pojedynczej rodziny – to zwiększa koszt odbudowy.
  • W bieżącej turze nowością jest połączenie takedownu z publiczną weryfikacją ofiar (CheckYourHack/HIBP) i aresztem developera RAT, co utrudnia utrzymanie produktu MaaS.

Podsumowanie / kluczowe wnioski

  • Endgame 3.0 to znaczący cios w kradzież tożsamości i zdalne przejęcia (Rhadamanthys/VenomRAT) oraz w zaplecze C2 (Elysium).
  • Efekty dla obrońców są realne, ale tymczasowe, jeśli nie nastąpi rotacja poświadczeń, unieważnienie sesji i wzmacnianie kontroli dostępu.
  • Wykorzystaj okno czasowe po takedownie, by wyczyścić środowisko i podnieść próg wejścia dla kolejnych kampanii.

Źródła / bibliografia

  1. BleepingComputer – przegląd akcji (1 025 serwerów, 20 domen, areszt 3 XI 2025) i kontekst Rhadamanthys. (BleepingComputer)
  2. Europol – oficjalny komunikat: „End of the game for cybercrime infrastructure” (liczby, zakres, areszt). (Europol)
  3. Eurojust – szczegóły prawne/operacyjne, liczby i informacja o portfelach krypto. (Eurojust)
  4. SecurityWeek – podsumowanie „Operation Endgame 3.0”, tło przeszukań i techniczne skutki. (SecurityWeek)
  5. Reuters – informacja o areszcie w Grecji i szerszym kontekście Endgame (maj 2025 oraz nowa tura). (Reuters)

“CitrixBleed 2” i krytyczne błędy w Cisco ISE: fala ataków na infrastrukturę tożsamości

Wprowadzenie do problemu / definicja luki

W najnowszej kampanii ofensywnej zaobserwowano równoległe wykorzystanie dwóch błędów 0-day w kluczowych komponentach tożsamości i dostępu:

  • Citrix NetScaler ADC/Gateway – CVE-2025-5777, nieformalnie nazwany „CitrixBleed 2”: błąd ujawnienia informacji (out-of-bounds read) umożliwiający odczyt fragmentów pamięci i przejęcie sesji (w tym admina) bez uwierzytelniania, gdy urządzenie działa jako Gateway/AAA.
  • Cisco Identity Services Engine – CVE-2025-20337: pre-auth RCE jako root przez podatne API; dotyczy ISE/ISE-PIC i uzyskało ocenę CVSS 10.0.

Według najnowszych doniesień, ten sam aktor wykorzystywał oba błędy przed publikacją łat, co wprost uderza w infrastrukturę IAM/NAC i ułatwia trwałą kontrolę nad środowiskiem ofiary.

W skrócie

  • CitrixBleed 2” (CVE-2025-5777) → wyciek pamięci i kradzież tokenów/sesji w NetScalerach działających jako Gateway/AAA.
  • Cisco ISE (CVE-2025-20337)zdalne wykonanie kodu bez uwierzytelnienia jako root przez podatne API.
  • APT wykorzystywał oba jako 0-day (pre-patch), wdrażając niestandardowe web-shelle/malware i utrzymując niewykrywalną obecność.
  • Priorytet: natychmiastowe łatki + unieważnienie sesji, rotacja poświadczeń/kluczy, przegląd zaufania do całej płaszczyzny tożsamości.

Kontekst / historia / powiązania

Nazwa „CitrixBleed 2” nawiązuje do CitrixBleed (CVE-2023-4966) z 2023 r., który był masowo nadużywany m.in. przez grupy ransomware. Obecna luka ma podobny skutek (wyciek pamięci → przejęcie sesji), ale dotyczy nowszych wersji NetScaler i znów eksponuje perymetr zdalnego dostępu.

Po stronie Cisco ISE producent 25 czerwca 2025 r. opublikował poradnik o krytycznych RCE w ISE/ISE-PIC i w lipcu dodał CVE-2025-20337, potwierdzając maksymalną wagę problemu. Niezależne ośrodki (CERT-EU, NVD, NHS) spójnie wskazują na pre-auth RCE przez API.

Analiza techniczna / szczegóły luki

CVE-2025-5777 – NetScaler („CitrixBleed 2”)

  • Typ: out-of-bounds read → ujawnienie pamięci (m.in. tokeny sesyjne, ciasteczka) po wysłaniu spreparowanych parametrów logowania do komponentu uwierzytelniania.
  • Warunki: NetScaler skonfigurowany jako Gateway (VPN/ICA Proxy/ CVPN/RDP Proxy) lub AAA vServer.
  • Skutki: „dołączenie” do dowolnej sesji, przejęcie pulpitów VDI, hijacking aktywnych sesji admina – konsekwencje obserwowane w praktyce.

CVE-2025-20337 – Cisco Identity Services Engine

  • Typ: brak walidacji danych wejściowych w określonym API ISE/ISE-PICRCE jako root bez uwierzytelniania po wysłaniu spreparowanego żądania.
  • Zakres: dotyczy gałęzi 3.3 i 3.4 (naprawy w patchach wydanych przez Cisco – patrz niżej). Niezależne biuletyny potwierdzają ścieżki naprawy (3.3 Patch 7, 3.4 Patch 2).
  • Obserwacje z incydentów: niestandardowy web-shell podszywający się pod komponent ISE, działający w pamięci, z naciskiem na trwałość i stealth.

„Patch-gap” i atak przed publikacją łatek

Amazon opisał wykorzystanie obu podatności jako 0-day jeszcze przed wydaniem łat – klasyczny przykład „patch-gap exploitation” (okno między wykryciem a pełnym rolloutem poprawek). Wnioski: zarządzanie ekspozycją i telemetria/anomalia wygrywają z samą prędkością patchowania.

Praktyczne konsekwencje / ryzyko

  1. Przejęcie dostępu zdalnego i tożsamości
    Kradzież ciasteczek/tokenów NetScaler → przejęcie sesji użytkowników/adminów; RCE na ISE → pivot do AD, MDM, VPN, segmentacji NAC.
  2. Trwała obecność i niewidoczność
    Web-shelle „osadzone” w ISE, wykonywane w pamięci i maskujące się jako komponenty systemowe. Ryzyko cichego podnoszenia uprawnień oraz lateral movement.
  3. Szeroki blast radius
    Atak na warstwę IAM/NAC wpływa na całe środowisko: federacje SSO, dostęp VPN, profile polityk dostępu, integracje z chmurą.

Rekomendacje operacyjne / co zrobić teraz

0) „Assume breach” dla NetScaler i ISE

Skoro obserwowano pre-patch exploitation, traktuj oba urządzenia jak potencjalnie naruszone. Priorytet: skracać ekspozycję i podnosić wierność logowania.

1) Patch & hardening (dziś)

  • NetScaler (CVE-2025-5777): zaktualizuj do buildów z poprawką i zastosuj konfiguracyjne kroki remediacji (NetScaler Console ma wbudowany 2-etapowy workflow: upgrade + szablon komend). Po aktualizacji wymuś wygaszenie sesji i przeprowadź skan instancji.
  • Cisco ISE (CVE-2025-20337): zastosuj patche wskazane przez Cisco dla linii 3.3/3.4 (zgodnie z komunikatami CERT/NHS: m.in. 3.3 Patch 7, 3.4 Patch 2). Zweryfikuj brak ekspozycji podatnych API do Internetu.

2) Response po aktualizacji

  • Unieważnij wszystkie aktywne sesje na NetScalerach (gateway/AAA), zrotuj klucze/sekrety (SAML/OIDC, certyfikaty), zresetuj hasła kont uprzywilejowanych, przeforcesuj re-logon. (Dostarczane przez NetScaler Console mechanizmy ułatwiają masowe działania).
  • Przegląd konfiguracji ISE: odłącz nieużywane integracje, wprowadź allow-list dla API/management plane (administracja wyłącznie z sieci zarządzania/VPN z MFA).

3) Detections – szybkie reguły dla SOC

Poniższe przykłady są defensywne (bez exploitów):

Splunk (NetScaler – anomalia sesji/admin hijack)

index=netscaler sourcetype=citrix:netscaler:* 
| eval ua=coalesce(http_user_agent, user_agent) 
| stats count dc(src_ip) values(ua) as uas by cs_user, http_cookie 
| where count>1 AND dc(src_ip)>1

Wyszukuje dzielone ciasteczka/sesje z różnych IP (hijack).

Splunk (Cisco ISE – podejrzane wywołania API)

index=cisco_ise sourcetype=cisco:ise:rest
| stats count values(http_method) as m values(uri_path) as up by src_ip, user
| where user="-" OR user="anonymous" OR like(m,"%POST%")

Wykrywa anonimowe POST-y do API.

Sigma (ogólne, do SIEM z HTTP logami)

title: Suspicious Anonymous API Calls to NAC/IAM
logsource: { category: webserver }
detection:
  selection:
    http.status: [200,201,204,500]
    http.verb: POST
    http.user: "-"
    http.path|contains:
      - "/ers/config"      # ISE ERS API
      - "/oauth"           # token endpoints
      - "/nitro/v1/config" # NetScaler NITRO API
  condition: selection
level: high

4) Telemetria i ograniczenie ekspozycji

  • Zamknij management plane (ACL, bastion, jump host, VPN z MFA).
  • Włącz HTTP request logging na brzegach (WAF/reverse proxy) i integrację z SIEM.
  • Monitoruj tokeny (źródła logowania, nagłe zmiany IP/ASN, skoki geolokalizacji).

5) Łączność z chmurą i federacje

Jeśli NetScaler/ISE federuje się z IdP/SSO, rozważ rotację kluczy podpisywania (SAML/OIDC), unieważnienie refresh tokenów i ponowne wymuszenie MFA.

Różnice / porównania z innymi przypadkami

  • CitrixBleed (2023) vs. „CitrixBleed 2” (2025): w obu przypadkach wyciek pamięci umożliwia przejęcie sesji, ale nowe CVE dotyka nowszych buildów i ponownie wykazuje, że urządzenia brzegowe IAM/VPN są „łakomym kąskiem”.
  • Cisco ISE RCE wyróżnia się na tle wielu błędów NAC tym, że daje root RCE pre-auth przez API – przez co łańcuch ataku jest krótszy (bez kradzieży kont).

Podsumowanie / kluczowe wnioski

  1. Tożsamość to nowy perymetr – atak na NetScaler i ISE to skrót do całej organizacji.
  2. Okno „patch-gap” jest realne – planuj kompensacyjne kontrole (segmentacja, izolacja zarządzania, wysokiej jakości logowanie) zanim pojawi się łatka.
  3. Po każdej aktualizacji wykonuj czynności post-incident: unieważnienie sesji, rotacje i przegląd anomalii – samo „patch done” nie wystarczy.

Źródła / bibliografia

  • Dark Reading – opis kampanii i korelacja między Citrix i Cisco ISE. (Dark Reading)
  • AWS Security Blog (CJ Moses) – szczegóły o pre-patch exploitation i taktykach aktora. (Amazon Web Services, Inc.)
  • NetScaler Docs – procedura dwuetapowej remediacji CVE-2025-5777 (upgrade + konfiguracja). (docs.netscaler.com)
  • NVD – szczegóły CVE-2025-20337 (RCE pre-auth w API ISE/ISE-PIC). (NVD)
  • CERT-EU / NHS – kontekst wersji ISE i rekomendacje patchy (3.3/3.4). (cert.europa.eu)

NHS: Synnovis zaczyna informować pacjentów o publikacji danych – po ataku Qilin z czerwca 2024 r.

Wprowadzenie do problemu / definicja luki

Synnovis – dostawca usług diagnostyki laboratoryjnej dla kilku londyńskich trustów NHS – został 3 czerwca 2024 r. zaatakowany przez grupę ransomware Qilin. Skutkiem były poważne zakłócenia świadczeń, a część danych pacjentów trafiła na stronę wyciekową przestępców. Po zakończeniu długiej analizy śledczej Synnovis rozpoczął teraz formalny proces powiadamiania organizacji NHS, których dane znajdują się w zbiorze wykradzionym i opublikowanym przez napastników. Zgodnie z brytyjskim prawem to poszczególni świadczeniodawcy mają informować konkretnych pacjentów.

W skrócie

  • Kto? Synnovis (usługi patologii i diagnostyki) – partner m.in. King’s College Hospital i Guy’s & St Thomas’. Atakujący: Qilin (ransomware).
  • Kiedy? Atak 3 czerwca 2024 r.; dane opublikowano w czerwcu 2024 r.; aktualizacja: Synnovis zakończył przegląd śledczy i do 21 listopada 2025 r. przekaże powiadomienia do wszystkich organizacji, których dane są w zbiorze.
  • Co wyciekło? M.in. dane identyfikacyjne (imię, nazwisko, data urodzenia, numer NHS) oraz formularze patologii/histopatologii, czasem z wrażliwymi objawami (np. nowotwory, choroby przenoszone płciowo).
  • Skala? Analizy podmiotów trzecich sugerują >900 tys. osób dotkniętych – oficjalny licznik nie został podany.
  • Wpływ kliniczny: tysięczne odwołania wizyt i zabiegów; w mediach branżowych odnotowano powiązanie incydentu z co najmniej jednym zgonem.

Kontekst / historia / powiązania

Po ataku z 3 czerwca 2024 r. w regionie południowo-wschodniego Londynu odwoływano zabiegi i wizyty, szczególnie dotknięte były banki krwi oraz planowe operacje. W kolejnych tygodniach Qilin zaczął publikować próbki skradzionych danych, w tym rekordy badań dotyczących m.in. HIV i nowotworów. W 2025 r. – w miarę prac analitycznych – NHS na bieżąco publikował Q&A dla opinii publicznej. 10 listopada 2025 r. pojawiła się informacja, że śledztwo Synnovis zostało domknięte i rusza sekwencja powiadomień na poziomie organizacji (trusty, GP, inne podmioty).

Analiza techniczna / szczegóły luki

Łańcuch ataku i TTPs (wysoki poziom): Qilin to ekosystem RaaS stosujący klasyczny model double extortion – szyfrowanie + publikacja danych na stronie wyciekowej. Po początkowym włamaniu (wektor nie został publicznie potwierdzony), atakujący uzyskali dostęp do systemów Synnovis, co doprowadziło do zakłóceń usług oraz eksfiltracji plików. Publikacja danych miała charakter stopniowy (samples → większe paczki), co jest typową taktyką zwiększania presji. (Wnioski na bazie raportów prasowych i komunikatów instytucji; brak pełnej publikacji IOCs przez Synnovis/NHS.)

Charakter danych: Najbardziej wrażliwą część stanowiły formularze patologia/histologia, które służą do przekazywania informacji między jednostkami medycznymi – zawierają opisy objawów i kontekstu klinicznego (np. podejrzenie STI, rodzaj zmiany nowotworowej). Zidentyfikowano także dane identyfikacyjne i, w części przypadków, dane kontaktowe. To dokładnie te typy informacji, które w kontekście RODO (UK GDPR) kwalifikują się jako szczególne kategorie danych osobowych.

Dlaczego analiza trwała tak długo? Synnovis informuje, że skradziony zestaw był „nieustrukturyzowany, niekompletny i fragmentaryczny”, co wymagało użycia specjalistycznych platform do korelacji i odtwarzania właścicieli danych (data controllers/processors). Dopiero po takim forensicu możliwe było mapowanie rekordów do konkretnych organizacji NHS i ich pacjentów. Ten etap zakończono i wyznaczono termin zakończenia powiadomień organizacji na 21 listopada 2025 r.

Praktyczne konsekwencje / ryzyko

  1. Ryzyko prywatności: Ujawnienie informacji o stanie zdrowia (STI, onkologia) może prowadzić do szkód psychologicznych, stygmatyzacji, szantażu i doxingu. Nawet bez numerów dokumentów medyczne formularze mają wysoką wartość dla oszustów (phishing na „wyniki badań”, podszywanie się pod NHS).
  2. Ryzyko oszustw ukierunkowanych: SEL ICS i NHS podkreślają, że Synnovis nie kontaktuje pacjentów bezpośrednio – powiadomienia przyjdą z organizacji NHS. Każda prośba o dane/ płatność „w imieniu Synnovis” powinna być traktowana jako phishing.
  3. Ryzyko operacyjne: Zakłócenia w bankach krwi i diagnostyce obrazują, jak ataki na laboratoria wpływają kaskadowo na cały łańcuch świadczeń (od kwalifikacji do zabiegu po opiekę pooperacyjną). Media branżowe odnotowały także związek incydentu z co najmniej jednym zgonem.

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji NHS, laboratoriów i dostawców (CIO/CISO/IG Leads)

  1. Proces powiadomień i rejestr
    • Skonsoliduj listy pacjentów zgodnie z informacją od Synnovis; przygotuj szablony pism, FAQ i landing page z aktualnościami.
    • Zadbaj o spójność komunikacji: „powiadamia organizacja NHS, nie Synnovis”.
  2. Zarządzanie ryzykiem prawnym i zgodnością
    • Rewizja DPIA/ROPA dla strumieni danych patologii/histologii; wzmocnienie podstaw przetwarzania i minimalizacji danych.
    • Przygotuj odpowiedzi na pytania ICO i pacjentów dotyczące kategorii danych oraz okresów retencji.
  3. Bezpieczeństwo techniczne (priorytety krótkoterminowe)
    • Segmentacja i zasada najmniejszego uprzywilejowania między LIS/LIMS, PACS, EPR/EMR i interfejsami wymiany (HL7/FHIR).
    • Backupy offline i procedury odtwarzania LIMS; testy odtworzeniowe.
    • Monitoring wycieku danych: wyszukuj artefakty Synnovis w SIEM/TI (skrótowe nazwy formularzy, formaty zleceń, identyfikatory).
    • Kontrola poczty i alerty anty-phishingowe na kampanie podszywające się pod NHS/Synnovis (DMARC, brand indicators).
    • Wymuszenie MFA i kluczy sprzętowych dla dostępów uprzywilejowanych do LIMS/VPN/VDA.
  4. Długoterminowo
    • Zero Trust dla integracji laboratoryjnych; broker API / gateway z inspekcją treści HL7/FHIR, DLP i tokenizacją pól wrażliwych.
    • Klastry izolowane dla przetwarzania formularzy patologii; szablony formularzy pozbawione wolnego tekstu, by ograniczyć wrażliwe narracje kliniczne.
    • Szczegółowe runbooki: tryby „degradacji” usług (paper-back, priorytetyzacja badań krytycznych, manualne transfuzje).

Dla pacjentów

  • Sprawdzaj aktualizacje na stronach swojego świadczeniodawcy/NHS; nie odpowiadaj na SMS/e-maile proszące o płatności lub dane w imieniu Synnovis.
  • Jeśli obawiasz się ekspozycji, wystąp o notatkę w dokumentacji („flag for enhanced verification”) i rozważ kod bezpieczeństwa do umawiania wizyt.

Różnice / porównania z innymi przypadkami

W porównaniu z typowymi incydentami w szpitalach, atak na dostawcę patologii generuje efekt domina: jeden LIMS obsługuje wiele trustów i GP, więc pojedynczy punkt awarii paraliżuje szeroki obszar. To tłumaczy tysięczne odwołania świadczeń w Londynie po czerwcu 2024 r. – skala zaburzeń była większa niż przy wielu pojedynczych atakach na szpitale, bo dotyczyła wspólnego węzła usługowego.

Podsumowanie / kluczowe wnioski

  • Synnovis zakończył badanie forensyczne i do 21 listopada 2025 r. powiadomi wszystkie organizacje NHS, których dane znalazły się w wycieku Qilin; następnie to te organizacje zaczną kontaktować pacjentów.
  • Najbardziej wrażliwe były formularze patologii/histologii – ryzyko szkód prywatności i celowanych oszustw jest realne.
  • Systemowa odporność łańcucha diagnostycznego (LIMS ↔ EPR/EMR ↔ banki krwi) to priorytet: segmentacja, backupy offline, runbooki degradacji i Zero Trust dla interfejsów klinicznych.

Źródła / bibliografia

  1. Synnovis – komunikat: zakończenie przeglądu forensycznego i harmonogram powiadomień (11–12 listopada 2025). (Synnovis)
  2. NHS England – strona incydentu Synnovis i Q&A (aktualizacja 10 listopada 2025). (NHS England)
  3. The Record (Recorded Future News) – informacja o rozpoczynających się powiadomieniach pacjentów i tle sprawy. (The Record from Recorded Future)
  4. Computer Weekly – przegląd skutków klinicznych i informacji o publikacji danych; wzmianka o śmiertelnym incydencie powiązanym. (Computer Weekly)
  5. BleepingComputer – podsumowanie komunikatu Synnovis i terminu 21 listopada 2025 r. (BleepingComputer)