Archiwa: Ransomware - Strona 73 z 81 - Security Bez Tabu

Tag: Ransomware

LPI Security Essentials (Moduł 021.1) – Triada CIA W Praktyce

Zanim zaczniesz

Ten artykuł jest częścią serii „Bezpłatny Kurs LPI Security Essentials, w ramach której znajdziesz wszystko, co potrzeba, aby zdać egzamin LPI Security Essentials 020-100 już za pierwszym razem.

Każdy moduł zawiera praktyczne przykłady, wyjaśnienia i materiały pomocnicze – wszystko po polsku, zrozumiale i konkretnie.

Czytaj dalej „LPI Security Essentials (Moduł 021.1) – Triada CIA W Praktyce”

FAQ: ISA/IEC 62443 W Praktyce

Czym jest ISA/IEC 62443 i dlaczego jest ważna?

ISA/IEC 62443 to rodzina międzynarodowych standardów cyberbezpieczeństwa dedykowanych systemom automatyki i sterowania przemysłowego (Industrial Automation and Control Systems, IACS) oraz infrastrukturze OT (Operational Technology). Powstała z inicjatywy ISA (International Society of Automation) jako seria ISA-99, a następnie została przyjęta przez IEC pod numerem 62443. Standardy te zostały opracowane konsensualnie przez ekspertów z branży i są jedynym tak kompleksowym, uzgodnionym globalnie zestawem wymagań dla bezpieczeństwa systemów przemysłowych.

Czytaj dalej „FAQ: ISA/IEC 62443 W Praktyce”

Kanada: hacktywiści naruszyli systemy wody, energii i rolnictwa. Co wiemy i jak reagować

Wprowadzenie do problemu / definicja luki

Kanadyjskie Canadian Centre for Cyber Security (Cyber Centre) ostrzegło 29 października 2025 r., że tzw. hacktywiści wielokrotnie uzyskali dostęp do internetowo wystawionych systemów sterowania przemysłowego (ICS/OT) w kraju. W trzech udokumentowanych przypadkach doszło do manipulacji parametrami procesowymi w: zakładzie wodociągowym (ciśnienie wody), firmie naftowo-gazowej (Automated Tank Gauge – ATG) oraz w silosie do suszenia zboża (temperatura i wilgotność). Ataki miały charakter okazjonalny i oportunistyczny, ale realnie groziły niebezpiecznymi warunkami pracy instalacji.

W skrócie

  • Co się stało: hacktywiści wykorzystali bezpośrednio wystawione do Internetu elementy ICS/HMI/SCADA, uzyskując możliwość zmiany nastaw i wywołania alarmów/zakłóceń.
  • Skala ryzyka: degradacja usług komunalnych, błędne alarmy w sektorze O&G, potencjalnie niebezpieczne warunki w rolnictwie – bez katastrofalnych skutków, ale z niską barierą wejścia dla napastników.
  • Trend: rośnie liczba „mało wyrafinowanych” ataków na OT/ICS, co wcześniej sygnalizowała też CISA.
  • Dlaczego teraz: ekspozycja ICS do sieci publicznej + słabe uwierzytelnianie = szybkie „trofea” dla grup szukających rozgłosu (przykład: wpadka prorosyjnej grupy TwoNet na przynęcie-honeypocie).

Kontekst / historia / powiązania

Ostrzeżenie Cyber Centre wpisuje się w globalny trend: od 2024 r. rośnie aktywność grup hacktivist uderzających w infrastrukturę krytyczną – często prosto i głośno, dla efektu medialnego. CISA już w maju 2025 r. alarmowała o „niewyrafinowanych aktorach” celujących w ICS/SCADA w sektorach O&G, wody i żywności.
Równolegle raporty Dragos wskazywały, że część „hacktywistów” zaczęła łączyć działania z ransomware, co zwiększa presję na operatorów OT (Handala, Kill Security, CyberVolk – przykłady z 2024 r.).
Na świeżo: w październiku 2025 r. badacze Forescout ujawnili, że prorosyjna grupa TwoNet chwaliła się „zhakowaniem” wodociągów – w rzeczywistości był to sprytnie przygotowany honeypot OT/ICS. Incydent obnażył techniki oparte na słabych hasłach do HMI i manipulacji setpointami/zdarzeniami.

Analiza techniczna / szczegóły luki

Z ostrzeżenia AL25-016 wynika, że wektor nr 1 to po prostu ekspozycja urządzeń OT do Internetu (np. PLC, RTU, HMI, SCADA, SIS, BMS, IIoT) – często z domyślnymi/dzielonymi kontami lub bez MFA. Skutki obserwowane w Kanadzie:

  • Woda: manipulacja wartościami ciśnienia → spadek jakości/ciągłości usługi dla społeczności.
  • O&G: manipulacja ATG (Automated Tank Gauge) → fałszywe alarmy.
  • Rolnictwo: zmiany temperatury/wilgotności w silosie suszarniczymwarunki potencjalnie niebezpieczne, gdyby nie szybkie wykrycie.

W praktyce takie ataki często wykorzystują:

  • Zdalne usługi (np. otwarte HTTP/VNC/RDP/VPN bez MFA) do paneli HMI/SCADA.
  • Słabe/lokalne konta (valid accounts) zamiast exploitów 0-day.
  • Prostą manipulację procesem (zmiana setpointów, wyłączanie alarmów/logów), jak pokazał przypadek TwoNet w honeypocie.

Praktyczne konsekwencje / ryzyko

  • Bezpieczeństwo procesowe: nawet krótkotrwała zmiana parametrów (ciśnienie, temp., poziom zbiorników) może prowadzić do stanu niebezpiecznego.
  • Ciągłość działania: fałszywe alarmy ATG = kosztowne przerwy i inspekcje.
  • Reputacja/regulator: incydenty w wodzie/energetyce szybko trafiają do mediów i mogą skutkować sankcjami nadzorczymi.
  • Eskalacja taktyk: część grup hacktywistycznych łączy działania z ransomware, co zwiększa ryzyko długotrwałych zakłóceń i wycieku danych.

Rekomendacje operacyjne / co zrobić teraz

Na bazie zaleceń Cyber Centre (AL25-016) oraz dobrych praktyk OT/ICS:

  1. Inwentaryzacja i „de-exposure” (D+E):
    • Zrób pełną listę wszystkich urządzeń ICS dostępnych z Internetu.
    • Wyłącz bezpośrednią ekspozycję – preferuj VPN z 2FA i listami uprawnień; jeśli musisz zostawić dostęp, wprowadź wzmożone monitorowanie.
  2. Kontrole dostępu: odetnij domyślne konta, wprowadź MFA dla wszystkich ról zdalnych, segmentację sieci (IT/OT) i zasadę najmniejszych uprawnień.
  3. Monitoring i testy:
    • IPS/IDS dla ruchu przemysłowego (np. Modbus, DNP3), ciągły VA/PT i tabeltopy z jasno zdefiniowanymi rolami OT/IT.
  4. Higiena konfiguracji HMI/SCADA: wymuś timeout sesji, alarmy nieusuwalne bez zgody drugiej osoby (four-eyes), rejestrowanie zmian setpointów. (Wnioski także po analizie incydentu TwoNet-honeypot).
  5. Zgodność z wytycznymi: wdrażaj Cyber Security Readiness Goals (CRG) oraz dokumenty Cyber Centre dla ICS/CI jako „minimum operacyjne”.
  6. Zgłaszanie i współpraca: w Kanadzie – My Cyber Portal / contact@cyber.gc.ca i lokalna policja; w USA – śledź alerty CISA i przekazuj wskaźniki/artefakty.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Klasyczne kampanie APT przeciw OT celują w długotrwałą infiltrację i precyzyjne uderzenia (zwykle „ciche”). Tu mamy ekspozycję + szybkie „kliknięcie” w HMI/ATG, często przy użyciu słabych haseł lub domyślnych konfiguracji – niski próg wejścia, wysoki PR. Przykład TwoNet pokazuje, że nawet „głośne” sukcesy bywały na przynęcie, ale techniki (wyłączenie logów/alarmów, manipulacja PLC) są realne i transferowalne do prawdziwych środowisk.

Podsumowanie / kluczowe wnioski

  • Nie zostawiaj HMI/SCADA/PLC w Internecie. To najkrótsza ścieżka do incydentu.
  • Prosta manipulacja nastawami może wystarczyć, by zakłócić usługi krytyczne.
  • Hacktywiści polują na łatwe cele – widoczność i rozgłos są dla nich równie ważne jak szkody.
  • Checklistę Cyber Centre potraktuj jako „baseline” na już; dalej – segmentacja, MFA, monitoring protokołów przemysłowych i ćwiczenia reagowania.

Źródła / bibliografia

  1. Canadian Centre for Cyber Security – AL25-016: Internet-accessible ICS abused by hacktivists (29.10.2025). Najważniejsze źródło faktów nt. kanadyjskich incydentów i zaleceń. (Canadian Centre for Cyber Security)
  2. BleepingComputer – Canada says hacktivists breached water and energy facilities (29.10.2025). Streszczenie i kontekst medialny. (BleepingComputer)
  3. CISA – Unsophisticated cyber actor(s) targeting OT (06.05.2025). Szerszy trend uderzeń w ICS/SCADA. (cisa.gov)
  4. Forescout (Vedere Labs) – Anatomy of a Hacktivist Attack: Russian-Aligned Group Targets OT/ICS (09.10.2025) oraz materiały prasowe wtórne (The Record). Przykład TwoNet/honeypot. (Forescout)
  5. Dragos – OT/ICS threats escalate… (25.02.2025). Trend: hacktywiści korzystają z ransomware. (dragos.com)

ISA/IEC 62443 – Kompletny Przewodnik Po Standardzie Cyberbezpieczeństwa OT/ICS

Czym jest standard ISA/IEC 62443 i dlaczego ma znaczenie dla bezpieczeństwa OT/ICS

ISA/IEC 62443 to międzynarodowa seria standardów definiujących wymagania i procesy dla cyberbezpieczeństwa systemów automatyki przemysłowej i sterowania (Industrial Automation and Control Systems, IACS) oraz infrastruktury OT. Standard ten został opracowany przez International Society of Automation (ISA) i przyjęty przez International Electrotechnical Commission (IEC), tworząc wspólne, konsensusowe ramy ochrony dla wszystkich sektorów przemysłu wykorzystujących systemy ICS.

Czytaj dalej „ISA/IEC 62443 – Kompletny Przewodnik Po Standardzie Cyberbezpieczeństwa OT/ICS”

Kompletny Plan Wdrożenia NIS2 – Lista Kontrolna I Dowody Zgodności

Jak ten artykuł pomoże Ci w wdrażaniu NIS2?

Dyrektywa NIS2 (Network and Information Systems 2) nakłada na organizacje z wielu sektorów obowiązek wdrożenia zaawansowanych środków cyberbezpieczeństwa oraz wykazania zgodności z wymaganiami regulacyjnymi. Dla menedżerów, CISO oraz specjalistów IT odpowiedzialnych za bezpieczeństwo oznacza to konieczność opracowania kompleksowego planu działania – od fazy planowania, przez realizację technicznych i organizacyjnych zabezpieczeń, aż po przygotowanie dowodów zgodności na potrzeby audytu.

Czytaj dalej „Kompletny Plan Wdrożenia NIS2 – Lista Kontrolna I Dowody Zgodności”

Qilin (dawniej Agenda) nadużywa WSL, aby uruchamiać linuksowe szyfratory w Windows. Co to oznacza dla SOC?

Wprowadzenie do problemu / definicja luki

Operatorzy ransomware Qilin (znani wcześniej jako Agenda) zostali zaobserwowani przy uruchamianiu linuksowych binarek szyfrujących na hostach Windows poprzez Windows Subsystem for Linux (WSL). Ten zabieg utrudnia wykrywanie, bo wiele rozwiązań EDR/NDR ma profil detekcji skupiony na natywnych procesach Windows i klasycznych łańcuchach ataku. Informację nagłośnił 28 października 2025 r. serwis BleepingComputer, opierając się na świeżych obserwacjach z kampanii Qilin.

W skrócie

  • Nowy wektor: uruchamianie linuksowego szyfratora w Windows przez WSL, często dostarczanego z legalnymi narzędziami RMM/transferu plików.
  • Cel atakującego: ominięcie części polityk EDR/AV, które nie śledzą dokładnie artefaktów i syscalls powiązanych z WSL.
  • TTPs w kampaniach Qilin: zdalne zarządzanie (AnyDesk/ScreenConnect/Quick Assist), BYOVD do wyłączania zabezpieczeń, lateral movement po kradzieży poświadczeń.
  • Skala i dotkliwość: Qilin jest aktywną operacją RaaS od 2022 r.; w 2025 r. łączono go m.in. z atakami na podmioty przemysłowe i produkcyjne (np. Asahi Group w Japonii).

Kontekst / historia / powiązania

Qilin wystartował jako Agenda w 2022 r., szybko ewoluując (m.in. wariant Rust, szyfrowanie przerywane, wersje na Linux/ESXi). W 2024 r. amerykańskie HHS opublikowało profil zagrożenia Agenda/Qilin, opisując klasyczne wektory wejścia (phishing, RDP/VPN, kradzież poświadczeń). Dzisiejsze kampanie dodają warstwę „cross-platform” dzięki WSL.

W październiku 2025 r. media informowały o przypisywaniu przez Qilin głośnych incydentów w sektorze produkcyjnym (Asahi Group). To wskazuje, że grupa celuje w operacje o niskiej tolerancji na przestoje, gdzie presja na zapłatę okupu jest większa.

Analiza techniczna / szczegóły ataku

Łańcuch ataku obserwowany w kampaniach Qilin (Agenda):

  1. Dostęp początkowy: phishing, nadużycie RDP/VPN lub skompromitowane konta; następnie instalacja legalnych narzędzi RMM (AnyDesk, ScreenConnect, Quick Assist itd.) dla utrwalenia i ręcznego sterowania.
  2. Przygotowanie środowiska: pobranie komponentów, często z wykorzystaniem BYOVD (Bring Your Own Vulnerable Driver) w celu wyłączenia EDR/AV i eskalacji uprawnień.
  3. Wykorzystanie WSL:
    • Włączenie WSL (jeśli wyłączony) i/lub doinstalowanie dystrybucji,
    • Dostarczenie linuksowego szyfratora ( ELF ),
    • Uruchomienie go w kontekście WSL, co daje dostęp do wolumenów Windows (np. /mnt/c) i udziałów sieciowych.
      Ten krok utrudnia detekcję, jeśli telemetria nie koreluje zdarzeń WSL z aktywnością na NTFS/Samba.
  4. Szyfrowanie i działania końcowe: niszczenie shadow copies/backupów, eksfiltracja i podwójny szantaż. (Warianty Qilin dokumentowano na Windows i Linux/ESXi).

Dlaczego to działa?

  • Procesy w przestrzeni WSL mogą generować IO na dyskach Windows, ale część rozwiązań ochronnych nie ma kompletnej widoczności syscalls/strumieni z warstwy WSL i nie łączy ich z efektami w NTFS. Elastic publikuje konkretne procedury detekcji „Suspicious Execution via WSL” i zaleca korelację telemetryczną (Defender, Sysmon, Endgame).

Praktyczne konsekwencje / ryzyko

  • Zwiększona szansa na „silent failure” detekcji – klasyczne reguły oparte na vssadmin, znanych packerach czy LOLBins Windows mogą nie zadziałać, jeśli właściwy szyfrator działa jako ELF w WSL.
  • Szybsze szyfrowanie zasobów sieciowych – binarka Linux może agresywnie iterować po udostępnionych zasobach (SMB/NFS), redukując czas do pełnego „blast radius”.
  • Ryzyko „false negative” w IR – bez dowodów na klasyczne narzędzia Windows zespoły IR mogą mylnie ocenić źródło szyfrowania i przeoczyć artefakty WSL.

Rekomendacje operacyjne / co zrobić teraz

1) Widoczność i telemetria WSL

  • Włącz logowanie i korelację zdarzeń WSL z IO na NTFS; stosuj gotowe reguły detekcji „Suspicious Execution via WSL” (Elastic) i ich odpowiedniki w SIEM/EDR. Monitoruj uruchomienia wsl.exe, tworzenie nowych dystrybucji i nietypowe procesy potomne.

2) Twarde kontrolki konfiguracyjne

  • Jeśli WSL nie jest potrzebny – wyłącz i egzekwuj to GPO/Intune.
  • Ogranicz instalację/uruchamianie niezatwierdzonych dystrybucji WSL (allow-list).

3) Ochrona przed BYOVD i RMM

  • Blokuj znane podatne sterowniki (WDAC/ Defender Attack Surface Reduction, polityki blokowania sterowników).
  • Wdróż kontrolę legalnych RMM (allow-list + monitorowanie anomalii, m.in. AnyDesk, ScreenConnect, Quick Assist), bo Qilin używa ich do dostarczania ładunku i utrzymania.

4) Backupy i segmentacja

  • Odseparuj repozytoria kopii zapasowych, testuj immutable snapshots i procedury odtwarzania. (Qilin celuje w backupy przed szyfrowaniem).

5) Playbook IR (aktualizacja pod WSL)

  • Dodaj kroki: enumeracja dystrybucji WSL, przegląd procesów ELF, artefaktów w %LOCALAPPDATA%\\Packages\\*Linux*, policji sieciowej WSL (gdy aktywna). Uwzględnij typowe ścieżki montowania (/mnt/c, /mnt/d itd.).

6) Higiena dostępu

  • MFA wszędzie, rotacja haseł po incydencie, zamykanie zbędnych RDP/VPN, polityki najmniejszych uprawnień – to nadal podstawy zgodne z zaleceniami profilu zagrożenia Qilin.

Różnice / porównania z innymi przypadkami

  • Klasyczne ransomware na Windows: bazuje na LOLBins (vssadmin, wmic), API Win32 i anty-debug, które łatwiej profilować.
  • Model Qilin z WSL: cross-platform, mniejsza sygnaturowość w warstwie Windows, inna telemetria, inne artefakty dyskowe i pamięciowe. Wymaga innych punktów obserwacji (mapowanie aktywności WSL ↔ NTFS).

Podsumowanie / kluczowe wnioski

Qilin podnosi poprzeczkę, łącząc Windows z Linuxem na jednym hoście i przesuwając środek ciężkości detekcji do obszarów, które wiele organizacji ignoruje: WSL, BYOVD oraz legalne RMM. Jeżeli nie monitorujesz WSL i nie egzekwujesz polityk RMM/sterowników, zostawiasz widoczną szczelinę w obronie. Priorytetem jest telemetria WSL + kontrola RMM + polityki sterowników + odporne backupy.

Źródła / bibliografia

  1. BleepingComputer – „Qilin ransomware abuses WSL to run Linux encryptors in Windows”, 28 października 2025. (BleepingComputer)
  2. Trend Micro Research – „Agenda Ransomware Deploys Linux Variant on Windows Systems…”, 23 października 2025. (www.trendmicro.com)
  3. Elastic Security – „Suspicious Execution via Windows Subsystem for Linux” (poradnik detekcji). (Elastic)
  4. HHS – „Qilin (Agenda) Threat Profile”, 18 czerwca 2024 (TLP:CLEAR). (HHS.gov)
  5. Reuters – „‘Qilin’ cybercrime gang claims hack on Japan’s Asahi Group”, 7 października 2025. (Reuters)

Wdrożenie NIS2 W Sektorach – Energetyka, Zdrowie I Usługi Cyfrowe

Nowe wymagania dyrektywy NIS2 i szerszy zakres sektorów

Dyrektywa NIS2 (UE 2022/2555) znacząco podnosi poprzeczkę w obszarze cyberbezpieczeństwa, zastępując poprzednią dyrektywę NIS z 2016 roku. Jej zapisy poszerzają listę sektorów objętych obowiązkami z kilku do 18 sektorów krytycznych, w tym m.in. energetykę, ochronę zdrowia oraz szereg usług cyfrowych (jak telekomunikacja, usługi chmurowe, data center). W efekcie liczba podmiotów w Polsce podlegających nowym przepisom wzrosła z ~400 do ponad 10 000.

Czytaj dalej „Wdrożenie NIS2 W Sektorach – Energetyka, Zdrowie I Usługi Cyfrowe”