Archiwa: Ransomware - Strona 74 z 81 - Security Bez Tabu

Tag: Ransomware

Płatności okupu za ransomware spadły w III kw. 2025 roku. Skąd ten dołek — i co to znaczy dla firm?

Wprowadzenie do problemu / definicja zjawiska

W III kwartale 2025 r. branża odnotowała rekordowo niski odsetek płatności okupu — zaledwie 23% incydentów zakończyło się zapłatą. To wniosek z najnowszej analizy firmy reagowania na incydenty Coveware, która jednocześnie raportuje gwałtowny spadek średniej płatności do ~376,9 tys. USD (–66% kw./kw.) oraz medianę 140 tys. USD (–65% kw./kw.). Coveware wiąże to z coraz częstszą odmową płatności przez duże przedsiębiorstwa oraz mniejszymi żądaniami wobec firm ze średniego segmentu. Informacje podsumował również SecurityWeek.

W skrócie

  • 23% – historycznie najniższy wskaźnik płatności (Q3 2025).
  • 376 941 USD / 140 000 USD – średnia / mediana zapłaconego okupu (–66% / –65% vs Q2).
  • Najaktywniejsze grupy: Akira, Qilin (oraz silna aktywność INC Ransom, Play, SafePay wg ZeroFox).
  • Sektory najczęściej na celowniku: usługi profesjonalne, wciąż wysoko produkcja i budownictwo.
  • Ekosystem wycieków: liczba aktywnych „data leak sites” osiągnęła 81 w Q3 (rekord wg ReliaQuest).
  • Wolumen incydentów: ZeroFox naliczył 1 429 przypadków R&DE w Q3 (≈+5% kw./kw., –27% vs rekordowego Q1).

Kontekst / historia / powiązania

Spadek płatności to kontynuacja trendu, który przyspieszył po licznych akcjach organów ścigania i upadkach znanych marek RaaS w latach 2024–2025. Według Coveware ekonomia cyberwymuszeń uległa erozji: koszty operacyjne rosną, a „double extortion” (same wycieki danych) coraz rzadziej skłaniają duże firmy do zapłaty. Równolegle rynek fragmentuje się — aktywność mniejszych kolektywów oraz rekordowa liczba witryn wyciekowych podtrzymują presję ataków, choć nie zawsze przekładają się na przychody grup.

Analiza techniczna / szczegóły

Wektory wejścia. Coveware wskazuje na kompromitację zdalnego dostępu (VPN, bramki chmurowe, RDP), socjotechnikę (w tym nadużycia helpdesku) oraz wykorzystanie luk jako trzy filary inicjalnego dostępu. Rosnąca „zbieżność” technik to m.in. uzyskiwanie dostępu poprzez wymuszone procesy wsparcia i OAuth. W TTPs przeważa eksfiltracja danych (filary TA0010/TA0008/TA0011).

Nowe taktyki — łapówki dla insiderów. Opisany przez Coveware przypadek próby przekupstwa pracownika przez gang Medusa pokazuje, że grupy sięgają po insider threats jako środek do wdrożenia szyfratora u celów o wyższej dojrzałości.

Aktywność grup i branż. ZeroFox ocenił, że w Q3 Qilin i Akira należały do najaktywniejszych, a usługi profesjonalne wyraźnie zyskały na zainteresowaniu napastników (do tej pory dominowały produkcja/budownictwo/ochrona zdrowia).

Praktyczne konsekwencje / ryzyko

  • Negocjacje: Linie obrony „nie płacimy” są dziś skuteczniejsze — płacenie za „zduszenie” wycieku bywa bezwartościowe, a „nuisance payments” podtrzymują rynek wymuszeń.
  • Ryzyko operacyjne: Nasilenie ataków wolumenowych na mid-market oznacza krótszy czas do awarii usług i presję na zespoły IT/OT. Źle skonfigurowane dostępny zdalne, OAuth i „dług konfiguracyjny” to najsłabsze ogniwa.
  • Ryzyko reputacyjne/regulacyjne: Sektory usług profesjonalnych i produkcji narażają klientów/łańcuch dostaw; wycieki danych mogą inicjować dochodzenia regulatorów.

Rekomendacje operacyjne / co zrobić teraz

  1. Uderz w wektory wejścia
    • Egzekwuj MFA wszędzie, szczególnie dla VPN, bram SaaS i uprzywilejowanych kont; wymuś FIDO2 jako standard.
    • Zamknij „dług konfiguracyjny”: rotacja starych kont/kluczy, blokada nieużywanych integracji OAuth, rejestrowanie i alertowanie nietypowych logowań międzytenantowych.
  2. Wykrywanie i segmentacja
    • EDR/XDR + analityka lateral movement (RDP/SSH/PSExec) z regułami anomalii.
    • Segmentacja sieci / mikrosegmentacja (zwł. IT/OT wg modelu Purdue w środowiskach krytycznych).
  3. Twarde procesy helpdesku
    • Twarde procedury weryfikacji przy resetach hasła/MFA; testy socjotechniczne typu red-team.
  4. Backup & odzyskiwanie
    • 3-2-1, izolacja kopii (immutable), regularne testy RTO/RPO i recovery „bez klucza napastnika”.
  5. Plan na wyciek (bez płatności)
    • Z góry opracuj playbook eksfiltracji: kontakt z prawnikami ds. prywatności, ocena materiału, komunikacja kryzysowa, działania wobec klientów/partnerów — bez „nuisance payments”.
  6. Program insiderski
    • Kanały zgłoszeń, szkolenia anty-korupcyjne, monitoring ryzyk personalnych; detekcja anomalii dostępu.
  7. Higiena podatności
    • Patchowanie systemów brzegowych i urządzeń sieciowych; priorytetyzacja luk historycznie wykorzystywanych przez RaaS.

Różnice / porównania z innymi przypadkami

  • Q3 vs Q2 2025: średnia i mediana płatności spadły o ~2/3 kwartał do kwartału, co wskazuje na zmianę „unit economics” po stronie gangów i większą determinację dużych ofiar, by nie płacić.
  • „Big-game hunting” vs „mid-market at scale”: Chociaż wielkie ofiary coraz częściej odmawiają, kampanie wysokowolumenowe (np. Akira, Qilin) trzymają tempo, celując w firmy, które łatwiej zakłócić, ale które zapłacą mniejsze kwoty.
  • Ekosystem wycieków: Rekord 81 aktywnych DLS w Q3 nie przełożył się na wzrost płatności — presja reputacyjna działa, lecz coraz rzadziej konwertuje na przelewy.

Podsumowanie / kluczowe wnioski

Ransomware nie zwalnia, ale płacić się „nie opłaca”. Q3 2025 to przełom: mniej płatności, mniejsze wypłaty i rosnące koszty po stronie napastników. Organizacje, które inwestują w przygotowanie do wycieku i mają twarde procesy tożsamości/remote access, skuteczniej negocjują i częściej wychodzą bez zapłaty. Dalsze utrzymanie presji — technicznej, prawnej i operacyjnej — może dalej dławić ekonomię wymuszeń.

Źródła / bibliografia

  • Coveware — „Insider Threats Loom while Ransom Payment Rates Plummet” (24 października 2025) — raport Q3 2025. (coveware.com)
  • SecurityWeek — „Ransomware Payments Dropped in Q3 2025: Analysis” (27 października 2025). (SecurityWeek)
  • ReliaQuest — „Ransomware and Cyber Extortion in Q3 2025” (8 października 2025). (ReliaQuest)
  • ZeroFox — „Q3 2025 Ransomware Wrap-Up” (3 października 2025). (ZeroFox)

Sweden’s power grid operator confirms data breach claimed by ransomware gang — co wiemy o incydencie w Svenska kraftnät (Everest)

Wprowadzenie do problemu / definicja luki

Svenska kraftnät — państwowy operator szwedzkiego systemu przesyłowego — potwierdził incydent bezpieczeństwa danych po stronie zewnętrznego, wydzielonego rozwiązania do transferu plików. Spółka podkreśliła, że dostawy energii nie zostały zakłócone, a zespół współpracuje z policją i organami cyberbezpieczeństwa nad oceną skali wycieku.

W skrócie

  • Atakujący: gang ransomware Everest twierdzący, że wykradziono ok. 280 GB danych i grożący publikacją.
  • Wektor/zakres: naruszenie dotyczy ograniczonego, zewnętrznego systemu wymiany plików; systemy krytyczne i zasilanie nie zostały naruszone według aktualnych ocen.
  • Status: trwające dochodzenie, zaangażowane służby państwowe; brak publicznej atrybucji.

Kontekst / historia / powiązania

O zdarzeniu poinformowano publicznie w niedzielę 26 października 2025 r. (wykrycie miało miejsce w sobotni wieczór, 25 października). W tym samym czasie Everest umieścił żądania i deklaracje na swoim serwisie wyciekowym. Sprawę opisały również media publiczne w Szwecji.

Analiza techniczna / szczegóły luki

Na tym etapie nie ujawniono technicznych szczegółów łańcucha ataku. Wiadomo jednak, że:

  • kompromitacja dotyczyła „avgränsad, extern filöverföringslösning” (wydzielonego, zewnętrznego narzędzia do transferu plików), co sugeruje potencjalny vektor przez aplikację MFT/SFTP/HTTP(S) z ekspozycją internetową i dostępem do buforów wymiany danych, a nie do rdzeniowych systemów sterowania (OT). Jest to wnioskowanie na podstawie opisu, nie potwierdzona informacja od operatora.
  • grupa Everest przypisała sobie atak i grozi publikacją ~280 GB danych; skala nie została niezależnie zweryfikowana.
  • operator deklaruje, że systemy krytyczne i zasilanie nie wykazują oznak naruszenia.

Co mogło się znaleźć w zasięgu?
Typowo w takich węzłach MFT przechowuje się eksporty danych organizacyjnych (umowy, projekty, raporty, dokumentację techniczną, plany prac, pliki dzienników), a także pakiety dla partnerów (np. dostawców). Jeżeli MFT pełnił rolę „skrzynki” dla wielu jednostek, to ryzyko wtórnych nadużyć (phishing ukierunkowany, podszywanie, eskalacja na partnerów) rośnie.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wycieków operacyjnych: dokumentacja infrastruktury, harmonogramy prac, dane dostawców mogą umożliwić precyzyjniejsze ataki (np. spear-phishing na wykonawców podpiętych do sieci energetycznej).
  • Ryzyko reputacyjne i prawne: możliwy obowiązek notyfikacji, jeśli w plikach były dane osobowe/niejawne.
  • Brak wpływu na ciągłość zasilania (na ten moment) nie oznacza braku zagrożeń długoterminowych — wycieki informacji o topologii/zasadach operacyjnych bywają wykorzystywane w kampaniach pre-positioning.

Rekomendacje operacyjne / co zrobić teraz

Dla operatorów infrastruktury krytycznej oraz dostawców w łańcuchu SVK:

  1. Izolacja i triage MFT: pełny „containment” węzła wymiany plików, rotacja kluczy/poświadczeń, weryfikacja listy partnerów i zakresów uprawnień.
  2. Threat hunting i telemetria: przeszukanie pod kątem ewentualnych TTP grupy Everest i powiązanych narzędzi exfiltracji (np. archiwizacja, tunelowanie, nietypowe wolumeny egress). (Na dziś brak oficjalnych IoC SVK; posiłkuj się listami zaufanych CERT-ów/ISAC).
  3. Kontrole poczty i tożsamości: ujednolicone DMARC/DKIM/SPF, ostrzeżenia o podszyciach, reset haseł, MFA odporne na phishing.
  4. Hardening stref wymiany: zasada one-way (diody danych) gdzie możliwe; segregacja od AD/ERP/OT, szyfrowanie at rest, krótkie TTL dla plików, WAF + mTLS i inventory integracji.
  5. DLP i monitoring wycieków: reguły na wzorce dokumentacji technicznej, skanowanie darkweb/clearweb pod kątem artefaktów SVK.
  6. Ćwiczenia IR: scenariusze „data leak + extortion bez szyfrowania”, polityka no-pay vs. wyjątki, gotowe komunikaty do interesariuszy.

(Powyższe to dobre praktyki branżowe; SVK nie opublikowało jeszcze własnych wskazówek operacyjnych poza komunikatem o braku wpływu na zasilanie.)

Różnice / porównania z innymi przypadkami

  • Miljödata (IX–X 2025): atak łańcucha dostaw dotknął setek gmin i organizacji — przypadek o innym profilu (dostawca IT vs. operator przesyłowy), ale podobne ryzyka wtórnych nadużyć po publikacji danych.
  • Everest i sektor transport/lotnictwo (2025): grupa wcześniej przypisywała sobie ataki na podmioty z branży lotniczej — wzorzec ukierunkowania na organizacje o wysokiej wrażliwości operacyjnej. (Deklaracje grup przestępczych nie zawsze są weryfikowalne).

Podsumowanie / kluczowe wnioski

  • Potwierdzono nieuprawniony dostęp do danych w zewnętrznym systemie transferu plików w SVK; dostawy energii nie zostały zakłócone.
  • Gang Everest rości sobie prawo do ataku i grozi publikacją ~280 GB danych; trwa dochodzenie i brak jest publicznej atrybucji państwowej.
  • Największe bieżące ryzyko dotyczy wykorzystania wykradzionych dokumentów do dalszych ataków socjotechnicznych i infiltracji łańcucha dostaw.

Źródła / bibliografia

  • Komunikaty SVK o incydencie i wpływie na zasilanie. (SVK)
  • The Record (Recorded Future News): potwierdzenie incydentu i roszczeń gangu Everest (280 GB). (The Record from Recorded Future)
  • SVT Nyheter: relacja o ataku i groźbie publikacji. (SVT Nyheter)
  • Omni: przegląd ustaleń i komentarze ekspertów dot. potencjalnej wagi danych. (Omni)

Qilin (Agenda) – jak działa jedna z najaktywniejszych operacji ransomware w 2025 r. według Cisco Talos

Wprowadzenie do problemu / definicja luki

Cisco Talos opisał szereg incydentów z 2025 r., które ujawniają aktualny łańcuch ataku Qilin (dawniej Agenda) – jednego z najbardziej „produktywnych” gangów ransomware. Zespół IR Talosa obserwuje ponad 40 publikacji ofiar miesięcznie na stronie wycieków Qilin, ze szczytami aktywności sięgającymi ~100 przypadków (czerwiec i sierpień 2025). Najmocniej cierpi produkcja, a dalej usługi profesjonalne i handel hurtowy.

W skrócie

  • Model RaaS: Qilin działa jako usługa, rozwijając platformę i udostępniając ją afilantom; podwójny szantaż (szyfrowanie + wyciek).
  • Początkowy dostęp: w badanych sprawach częste są nadużycia ważnych kont/VPN bez MFA, czasem zmiany GPO w AD w celu włączenia RDP; obserwowano także spear-phishing i wykorzystanie wycieków haseł.
  • Eksfiltracja: paczkowanie WinRAR, przesył przez legalne narzędzia (np. Cyberduck do Backblaze), „ręczne” przeglądanie danych nawet notatnikiem/mspaint.
  • Ruch boczny i utrzymanie: PsExec, modyfikacje zapory i RDP, instalacje wielu RMM (AnyDesk, ScreenConnect, Chrome Remote Desktop itd.).
  • Szyfrowanie: wariant Qilin.B (Rust) używa AES-256-CTR lub ChaCha20 + RSA-4096 (OAEP), terminacja usług backup/DB/AV, czyszczenie logów i niszczenie VSS.
  • Skala zagrożenia: w II kw. 2025 Qilin był najaktywniejszym ransomware wobec podmiotów SLTT w USA (MS-ISAC).

Kontekst / historia / powiązania

Qilin (wcześniej Agenda) działa od lipca 2022 r., oferując RaaS i prowadząc wycieki danych na własnym portalu. Z czasem ewoluował technicznie (m.in. przepisany na Rust; utrzymano też wersje Linux/ESXi) i organizacyjnie (aktywny rekrut na forach). W 2024 r. HHS/HC3 publikował profil zagrożenia wskazujący na spear-phishing i warianty Windows/Linux; w 2024/2025 Halcyon śledził wariant Qilin.B z usprawnioną kryptografią i ewakuacją kluczowych artefaktów.

W 2025 r. incydenty przypisywane Qilin odnotowano w różnych sektorach i krajach; przykładem jest głośny atak na japoński Asahi Group (zakłócenia produkcji i publikacja danych).

Analiza techniczna / szczegóły luki

Wejście / inicjalny dostęp

  • Nadużycie ważnych kont i brak MFA na VPN; wzmożone próby NTLM po pojawieniu się haseł w darknecie; możliwe zmiany GPO w celu ułatwienia RDP.
  • (Historycznie) spear-phishing, w tym złośliwe załączniki i kradzież poświadczeń.

Rozpoznanie i zbieranie

  • nltest, net user, whoami /priv, tasklist; narzędzia skanowania sieci; dedykowany pakiet do zrzutu haseł (NirSoft, Mimikatz). Modyfikacja WDigest (UseLogonCredential=1) ułatwiająca pozyskanie plaintextów. Dane agregowane skryptami i eksportowane (SMTP, pliki wynikowe z kodowaniem Windows-1251).

Eksfiltracja

  • Archiwizacja WinRAR, inspekcja dokumentów nawet przez notepad.exe/mspaint.exe/iexplore.exe; nadużycie Cyberduck do chmury (Backblaze) z podziałem na części.

Eskalacja uprawnień i ruch boczny

  • Dodawanie napastniczych kont do Local Administrators, wymuszanie RDP, tworzenie udziałów typu net share c=c:\ /grant: everyone,full; rozproszenie przez PsExec. Obserwacje wielu RMM (AnyDesk, ScreenConnect, Distant Desktop, QuickAssist, Chrome Remote Desktop).

Unikanie obrony

  • Silnie zaciemniony PowerShell z wyłączeniem AMSI, obejściem walidacji TLS oraz włączeniem Restricted Admin dla RDP (hash-based auth).

Przygotowanie środowiska i trwałość

  • Wyłączanie/ubijanie procesów AV/backup/DB, czyszczenie logów, tworzenie Scheduled Task („TVInstallRestore”) i wpisów Run podszywających się pod TeamViewer.

Szyfrowanie (Qilin.B)

  • Kombinacja AES-256-CTR (jeśli dostępne AES-NI) / ChaCha20 (fallback) + RSA-4096/OAEP do ochrony kluczy; noty okupu README-RECOVER-[company_id].txt; rozszerzenia plików wg unikalnego ID ofiary. Wykrywana enumeracja udziałów i dysków, ukierunkowanie na ClusterStorage/CSV (Hyper-V/VM/VHDX) przy jednoczesnym unikaniu pętli po symlinkach. Usuwanie VSS i autodestrukcja binarium.

IOCs i detekcje

  • Talos publikuje wykazy IOC (GitHub), Snort SID oraz ClamAV (np. Win.Ransomware.Qilin, SystemBC, Cobalt Strike).

Praktyczne konsekwencje / ryzyko

  • Czas przestoju: ataki celują w środowiska wirtualizacji i plików współdzielonych (CSV/Hyper-V), co zwiększa wpływ na produkcję i usługi krytyczne.
  • Ryzyko reputacyjne i prawne przez systematyczną ekfiltrację (Backblaze/Cyberduck) oraz publikację na stronie wycieków.
  • Trend rynkowy: Qilin był w Q2 2025 najaktywniejszą rodziną wobec SLTT w USA, co potwierdza jego dojrzałość operacyjną i tempo działania.
  • Incydenty głośne medialnie (np. Asahi) pokazują realny wpływ na produkcję i łańcuch dostaw.

Rekomendacje operacyjne / co zrobić teraz

Kontrole prewencyjne

  1. MFA bez wyjątków na VPN, RDP, poczcie i aplikacjach krytycznych; wymuś klient-based MFA dla kont uprzywilejowanych.
  2. Higiena tożsamości: rotacja haseł po wyciekach, blokady na „password spraying” (T1110.003), monitorowanie NTLM.
  3. Twardnienie RDP: wyłącz zdalne logowanie tam, gdzie zbędne; kontrola fDenyTSConnections, ograniczenia sieciowe/Jump Host; Restricted Admin tylko jeśli świadomie zarządzany.
  4. Egress/Exfil kontrola: DLP/CTI-driven blokady dla Backblaze i nietypowych klientów S3/WebDAV; monitoruj użycie Cyberduck, WinRAR w trybie archiwizacji masowej.
  5. Backup i odzyskiwanie: izolowane kopie, testy odtwarzania, ochrona VSS przed usuwaniem; segmentacja Hyper-V/CSV.

Detekcja i reagowanie (SOC/SIEM/EDR)

  • Reguły: Snort/ClamAV zgodnie z publikacją Talos; korelacje dla PsExec, net share c=, WDigest UseLogonCredential=1, zaciemnionego PowerShell wyłączającego AMSI, nietypowego schtasks /Create /SC ONLOGON.
  • Artefakty RMM: wykrywaj instalacje/połączenia AnyDesk/ScreenConnect/Chrome Remote Desktop/QuickAssist poza listą zatwierdzonych rozwiązań.
  • Kryptonotatki/rozszerzenia: alarmy na README-RECOVER-[company_id].txt oraz nowe rozszerzenia „.[company_id]”.

Procedury IR

  • Izolacja i triage hostów z aktywnością WinRAR/Cyberduck, ścieżkami Backblaze, masową terminacją usług bezpieczeństwa/backup.
  • Łańcuch dowodowy: zabezpieczenie logów przed czyszczeniem (wczesna centralizacja, forward-only, write-once).
  • Komunikacja kryzysowa i ocena ryzyka wycieku (PII, IP, dane produkcyjne).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Qilin vs. „typowy” RaaS 2025: podobnie jak inne operacje, Qilin intensywnie eksfiltruje i używa RMM/LOLBINs; odróżnia go ukierunkowanie na CSV/Hyper-V i szerokie wykorzystanie legalnych narzędzi do eksfiltracji (Cyberduck).
  • Qilin.B (Rust) wyróżnia kombinowany wybór szyfru (AES-NI → AES-CTR, fallback → ChaCha20) i mocną ochronę kluczy RSA-4096/OAEP, co komplikuje odzysk bez kluczy.
  • Wieloplatformowość: raporty z 2025 r. pokazują nawet wdrażanie binarek Linux na systemach Windows przez RMM/BYOVD, co utrudnia detekcję.

Podsumowanie / kluczowe wnioski

Qilin utrzymuje wysokie tempo kampanii i dojrzały łańcuch ataku: kradzież poświadczeń (WDigest/Mimikatz/NirSoft), ruch boczny (PsExec/RDP/RMM), eksfiltracja przez chmurę (Cyberduck→Backblaze), a następnie szyfrowanie zoptymalizowane dla środowisk wirtualnych (CSV/Hyper-V) i agresywna ewakuacja artefaktów. Obrona wymaga dyscypliny IAM/MFA, twardnienia RDP/VPN, kontroli egress/exfil, oraz predefiniowanych detekcji TTP. Publikacje Cisco Talos i analizy branżowe (HHS/HC3, Halcyon, CIS, Trend Micro) dostarczają praktycznych wskaźników i reguł do natychmiastowego wdrożenia.

Źródła / bibliografia

  1. Cisco Talos – Uncovering Qilin attack methods exposed through multiple cases, 26 października 2025 (TTP, IOCs, Snort/ClamAV). (Cisco Talos Blog)
  2. Halcyon – New Qilin.B Ransomware Variant…, 24 października 2024 (kryptografia, mechanika szyfrowania). (Halcyon)
  3. HHS/HC3 – Qilin (aka Agenda) Threat Profile, 18 czerwca 2024 (wektory wejścia, Windows/Linux). (hhs.gov)
  4. CIS (MS-ISAC) – Qilin: Top Ransomware Threat to SLTTs in Q2 2025, 11 września 2025 (trend aktywności). (CIS)
  5. Trend Micro – Agenda Ransomware Deploys Linux Variant on Windows Systems…, 23 października 2025 (nietypowe wdrożenia Linux przez RMM/BYOVD). (www.trendmicro.com)

Kradzież kont Discord z użyciem infostealera opartego na RedTiger — jak działa atak i jak się bronić

Wprowadzenie do problemu / definicja luki

Atakujący zaczęli nadużywać otwartoźródłowego narzędzia RedTiger do budowy infostealera kradnącego konta Discord oraz dane płatnicze powiązane z aplikacją. Złośliwe ładunki, kompilowane najczęściej w PyInstaller, zbierają również hasła i cookies z przeglądarek, informacje o portfelach kryptowalut oraz kontach gamingowych. Najnowsza fala celuje przede wszystkim w użytkowników we Francji, ale mechanizm ataku jest uniwersalny i łatwo przenaszalny na inne rynki.

W skrócie

  • Wejście: pliki wykonywalne podszywające się pod narzędzia do gier/Discord („mods”, „boosters”, „cheaty”). Kompilacja kodu RedTiger w PyInstaller.
  • Kradzież: tokeny Discord (w tym status MFA/Nitro), e-maile, dane płatnicze (karty, PayPal), hasła/karty zapisane w przeglądarkach, cookies, portfele krypto, konta gier.
  • Triki: iniekcja JS do pliku index.js Discorda w celu przechwytywania logowań, zmian hasła i transakcji; anty-analiza; masowe uruchamianie procesów i tworzenie plików dla utrudnienia analizy.
  • Eksfiltracja: archiwum z danymi wysyłane do GoFile, link przekazywany przestępcy przez Discord webhook.
  • Zasięg: początkowo Francja (użytkownicy Discord), ale brak barier językowych/techniczych do globalizacji kampanii.

Kontekst / historia / powiązania

RedTiger to pythonowe „multi-tool” do pentestów, OSINT i… budowania malware’u (m.in. stealer, Discord injection, a w wersji „premium” nawet ransomware builder). Choć repozytorium podkreśla „tylko do legalnych celów”, brak mechanizmów kontroli dystrybucji sprawia, że projekt jest łatwy do nadużycia przez aktorów zagrożeń. Zainteresowanie i dostępność potwierdzają setki forków i wydania utrzymywane w 2025 r.

Analiza techniczna / szczegóły luki

  1. Łańcuch infekcji
    Kampanie dystrybucji nie są jednolite; badacze wskazują na typowe wektory dla sceny gamingowej: serwery/DM na Discord, witryny z „modami”, fałszywe poradniki/filmiki, malvertising. Binarne „dropy” mają nazwy sugerujące powiązanie z grami/Discordem.
  2. Kradzież i walidacja tokenów Discord
    Stealer skanuje system pod kątem plików baz danych Discorda i przeglądarek, wydobywa tokeny (także szyfrowane) m.in. przez regexy, waliduje je i pobiera profil, e-mail, status MFA/Nitro oraz informacje o subskrypcji/płatnościach.
  3. Iniekcja do klienta Discord
    Złośliwy kod modyfikuje index.js klienta, aby hakować wywołania API i przechwytywać zdarzenia (logowanie, zakup, zmiana hasła, dodanie karty/PayPal). To umożliwia kradzież na żywo, nawet po rotacji części artefaktów.
  4. Zasięg kradzieży
    Poza Discordem RedTiger wykrada: hasła/cookies/historię/karty z przeglądarek, sesje portfeli krypto, pliki gier (Steam, Riot, Epic), pliki „interesujące” (.TXT, .SQL, .ZIP), a nawet zrzuty ekranu i ujęcia z kamery.
  5. Eksfiltracja i C2
    Zebrane artefakty są pakowane i uploadowane do GoFile; link jest zwracany atakującemu przez Discord webhook wraz z metadanymi ofiary.
  6. Anty-forensics / anty-analiza
    Wykryto m.in. kontrolę środowisk sandbox/debug oraz taktykę spamowania setkami procesów i plików, by utrudnić analizę i zaszumieć telemetrykę.

Praktyczne konsekwencje / ryzyko

  • Przejęcie kont Discord (utrata społeczności/serwera, oszustwa „na administratora”, wtórna dystrybucja malware’u).
  • Ryzyko finansowe: wyciek danych kart/PayPal zapisanych w Discordzie lub przeglądarce; zakupy Nitro/boosty na koszt ofiary.
  • Kompromitacja przeglądarki: przejęte cookies = sesje do SaaS/Gmail/GitHub; możliwość lateral movement.
  • Ekspozycja kluczy/seedów: enumeracja rozszerzeń/plików portfeli krypto.
  • Ryzyko reputacyjne i prawne (RODO) w razie wycieku danych z urządzeń firmowych.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkownika/Helpdesku (IR – pierwsze 24–48 h):

  1. Natychmiast zmień hasło do Discorda; to unieważnia tokeny. Następnie wyloguj wszystkie sesje i przeinstaluj klienta Discord (czysta instalacja z oficjalnej strony).
  2. Włącz/egzekwuj MFA na Discordzie oraz wszędzie, gdzie to możliwe.
  3. Na zainfekowanym hostcie: uruchom pełne skanowanie AV/EDR, usuń pliki z folderów Discorda, wyczyść LSA/DPAPI cache (jeśli dotyczy), zresetuj hasła do kont zapisanych w przeglądarce, usuń cookies i autouzupełnianie kart.
  4. Sprawdź transakcje karty/PayPal, rozważ zamrożenie karty.

Dla SecOps/IT:

  • App Control: blokuj wykonywalne PyInstaller i niepodpisane EXE z katalogów użytkownika; egzekwuj allow-listę aplikacji.
  • EDR: reguły na modyfikacje Discord\*\resources\app\*.js oraz nietypowe „child processes” klienta Discord.
  • Network egress: monitoruj/blokuj wycieki do GoFile i nietypowe wywołania Discord webhooks z hostów końcowych.
  • Browser hardening: zabroń przechowywania kart płatniczych; egzekwuj dojrzalszy menedżer haseł i polityki „no cookies reuse” dla systemów wrażliwych.
  • Uświadamianie użytkowników: kampanie przeciwko „modom/cheatom/boosterom” z nieznanych źródeł.
  • Hunting: IOC-y z bieżących raportów vendorów (np. Netskope Threat Labs), korelacja z logami proxy/EDR.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu do klasycznych infostealerów (np. Vidar, RedLine, Lumma), wariant bazujący na RedTiger wyróżnia:

  • nastawienie na Discord (tokeny + iniekcja JS do klienta, przechwytywanie zdarzeń zakupowych i zmian bezpieczeństwa),
  • builder” dostępny w repozytorium OSS, co obniża próg wejścia dla aktorów o niskich kompetencjach,
  • techniki anty-forensics (spam procesów/plików) nastawione na utrudnienie analizy po incydencie.

Podsumowanie / kluczowe wnioski

  • Otwartoźródłowe narzędzia red-teamowe, takie jak RedTiger, są coraz częściej weaponizowane w kampaniach masowych.
  • Discord pozostaje atrakcyjnym celem: token-stealing + JS-injection zapewniają atakującym długotrwały dostęp i możliwość monetyzacji.
  • Obrona wymaga połączenia higieny użytkownika (MFA, brak „cheatów”) z kontrolą aplikacji, telemetrią EDR i huntingiem pod konkretne artefakty (modyfikacje index.js, uploady do GoFile, webhooks).

Źródła / bibliografia

  1. BleepingComputer — „Hackers steal Discord accounts with RedTiger-based infostealer”, 26 października 2025. (BleepingComputer)
  2. Netskope Threat Labs — „RedTiger in the Wild: Targeting Gamers & Discord Accounts” (analiza kampanii, TTP, zasięg geograficzny). (Netskope)
  3. GitHub — RedTiger-Tools (funkcje: stealer, Discord injection, malware builder; aktywność repo 2025). (GitHub)

SafePay atakuje Xortec: grupa ransomware grozi publikacją danych niemieckiego dostawcy monitoringu wizyjnego

Wprowadzenie do problemu / definicja luki

Grupa ransomware SafePay dodała Xortec GmbH (niemiecki dystrybutor i integrator systemów profesjonalnego monitoringu wizyjnego oraz infrastruktury IP) na swoją stronę wyciekową i twierdzi, że wykradła dane spółki. Według pierwszych doniesień termin spełnienia żądań przypada na 27 października 2025 r. (dzisiaj), co ma zwiększyć presję negocjacyjną na ofierze. Na ten moment brak publicznych dowodów ujawnionych plików, lecz wpis na DLS (Data Leak Site) zwykle poprzedza publikację „dowodu życia” lub pakietów danych.

W skrócie

  • Kto? SafePay – jedna z najbardziej aktywnych grup ransomware 2025 r.
  • Co? Roszczenie ataku na Xortec; wpis na stronie wyciekowej (double extortion).
  • Kiedy? Wpis wykryto 24–27 października 2025 r.; deadline wyznaczony na 27.10.2025.
  • Dlaczego to ważne? Xortec obsługuje rozwiązania dla monitoringu i infrastruktury sieciowej – ewentualny wyciek może ujawnić dane projektowe, konfiguracje, schematy klientów i dostęp serwisowy.
  • Kontekst rynkowy: SafePay od końca 2024 r. konsekwentnie rośnie, celując w organizacje w DE/UK/US; raporty branżowe plasują ją w czołówce operacji ransomware 2025 r.

Kontekst / historia / powiązania

SafePay pojawił się jesienią 2024 r. i szybko stał się jedną z najaktywniejszych operacji, budując reputację dzięki agresywnemu double extortion (szyfrowanie + kradzież danych) i głośnym kampaniom przeciw dużym podmiotom. Analitycy zwracają uwagę na szybkie tempo publikacji ofiar oraz presję czasową w żądaniach okupu.

Analiza techniczna / szczegóły luki

TTPs SafePay (wybór, na podstawie raportów publicznych):

  • Wektory dostępu początkowego: częste wykorzystanie słabych/kompromitowanych poświadczeń i ekspozycji zdalnego dostępu (VPN/RDP), a także spear-phishing i „call-back” (vishing) do eskalacji uprawnień.
  • Ekfiltracja i przygotowanie wycieku: exfil danych przed szyfrowaniem; strukturyzacja listingów na DLS z twardymi deadline’ami; użycie wskaźników (mutexy) zapobiegających wielokrotnemu uruchomieniu ładunku.
  • Model operacyjny: niezależna operacja (nie klasyczny RaaS), szybkie „time-to-encrypt”, elementy kodu i praktyk znane z ekosystemu LockBit (modyfikacje narzędzi i taktyk).

Uwaga: w przypadku Xortec szczegóły wektora wejścia i zakres potencjalnie wykradzionych danych nie zostały publicznie potwierdzone w momencie publikacji; jedynym twardym artefaktem jest wpis na stronie wyciekowej przypisany SafePay.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla klientów i partnerów Xortec: możliwe ujawnienie dokumentacji projektowej, topologii sieci, konfiguracji kamer/NVR, kont serwisowych oraz danych kontaktowych partnerów i klientów. Taki wyciek ułatwia ransomware z wtórnej kompromitacji i atak łańcucha dostaw (pivotowanie do środowisk klientów). W branży bezpieczeństwa fizycznego ekspozycja konfiguracji bywa równoznaczna z ułatwieniem sabotażu systemów CCTV. (Wniosek analityczny na podstawie profilu biznesowego Xortec i modus operandi SafePay).
  • Ryzyko ciągłości działania: presja czasu (deadline 27.10.2025) zwiększa prawdopodobieństwo publikacji paczek „proof-pack” i eskalacji taktyk wymuszających kontakt.

Rekomendacje operacyjne / co zrobić teraz

Dla Xortec i podmiotów pokrewnych (dystrybutorzy/integratorzy security-tech):

  1. Zarządzanie incydentem: izolacja segmentów, rotacja poświadczeń uprzywilejowanych, przegląd kont serwisowych i dostępów klientowskich; weryfikacja dzienników VPN/IdP pod kątem anomalii.
  2. Redukcja ekspozycji zdalnej: wymusić MFA na wszystkich kanałach zdalnych (VPN/RDP/SSH), odciąć przestarzałe profile i nieużywane konta.
  3. Kontrola danych klientów: poinformować partnerów o potencjalnym wycieku, udostępnić wskaźniki kompromitacji (IoC) i rekomendacje rotacji haseł/API.
  4. Twarde zabezpieczenia endpointów/serwerów: blokady wykonywalnych w ścieżkach użytkownika, deny-by-default dla skryptów i makr, polityki application allow-listing/ring-fencing dla narzędzi administracyjnych.
  5. Przygotowanie na publikację danych: plan PR/obsługi prawnej, monitoring DLS/paste-sites; gotowe playbooki de-tokenizacji/rotacji kluczy, natychmiastowe unieważnianie certyfikatów i kluczy dostępowych, jeśli pojawią się w wycieku.
  6. Współpraca z organami i zespołami CSIRT: raport do właściwych służb i skorzystanie z publicznych wytycznych dot. reakcji na ransomware.

Dla klientów końcowych (używających rozwiązań dystrybuowanych/serwisowanych przez Xortec):

  • Zmień poświadczenia (lokalne i chmurowe) powiązane z usługami serwisowymi Xortec; przejrzyj listy zaufanych adresów IP i kluczy API.
  • Audyt konfiguracji CCTV/NVR/VMS: wyłącz domyślne konta, włącz logowanie i alertowanie o nieudanych logowaniach, wymuś TLS i segmentację sieci (oddziel CCTV od sieci biurowej).
  • Śledź publikacje wyciekowe przypisywane do Xortec – szybka rotacja sekretów minimalizuje okno nadużycia.

Różnice / porównania z innymi przypadkami

W porównaniu z klasycznymi operacjami RaaS, SafePay działa bardziej „jednolicie” (mniej afiliantów, bardziej spójne TTPs), częściej stosuje agresywną presję czasową oraz dużą liczbę ofiar miesięcznie. Raporty z 2025 r. potwierdzają wysoką dynamikę (dziesiątki ofiar/miesiąc), co zbliża SafePay do topowych graczy ubiegłych lat pod względem skali, choć zestaw narzędzi i procedur wskazuje na adaptacje znanych technik (np. elementy z ekosystemu LockBit).

Podsumowanie / kluczowe wnioski

  • Incydent nie został jeszcze oficjalnie potwierdzony przez Xortec, ale wpis SafePay na DLS oraz monitoring niezależnych serwisów śledzących ransomware zwiększają wiarygodność roszczenia.
  • Ryzyko wtórne dotyczy partnerów i klientów – szczególnie jeśli w wycieku znajdą się konfiguracje systemów i dane dostępowe.
  • Organizacje w ekosystemie security-tech powinny od razu wykonać rotację sekretów i twarde utwardzenie zdalnych dostępów, bazując na sprawdzonych guideline’ach reagowania na ransomware.

Źródła / bibliografia

  1. Security Affairs – „Safepay ransomware group claims the hack of Xortec (DE)” (27.10.2025). (Security Affairs)
  2. Ransomware.live – wpis ofiary „xortec.de” (24.10.2025). (ransomware.live)
  3. Quorum Cyber – SafePay Ransomware Report (TTPs, aktywność 2025). (Quorum Cyber)
  4. Bitdefender – „SafePay Ransomware: How a Non-RaaS Group Executes…” (analiza trendów 2025). (Bitdefender)
  5. CISA – Ransomware Guide (wytyczne reagowania i prewencji). (CISA)

Techniczne I Organizacyjne Środki Bezpieczeństwa Wymagane Przez NIS2

Dlaczego techniczne i organizacyjne środki bezpieczeństwa są kluczowe dla zgodności z NIS2?

Dyrektywa NIS2 stawia jasne wymagania: organizacje objęte jej zakresem muszą wdrożyć odpowiednie i proporcjonalne środki cyberbezpieczeństwa – zarówno techniczne, jak i organizacyjne. Nie chodzi tu o sztuczną biurokrację czy „odhaczanie” zgodności na papierze. NIS2 wymusza realne zabezpieczenia, które mają chronić krytyczne usługi i dane przed współczesnymi zagrożeniami.

Czytaj dalej „Techniczne I Organizacyjne Środki Bezpieczeństwa Wymagane Przez NIS2”

ONZ przyjmuje „Hanoi Convention”: globalny traktat przeciw cyberprzestępczości otwarty do podpisu. Co to oznacza dla SOC-ów i compliance?

Wprowadzenie do problemu / definicja luki

25 października 2025 r. ONZ otworzyła w Hanoi do podpisu pierwszy globalny traktat przeciw cyberprzestępczości („UN Convention against Cybercrime”, nieformalnie: Hanoi Convention). Wydarzenie zgromadziło delegacje dziesiątek państw i ma usprawnić współpracę międzynarodową w sprawach takich jak phishing, ransomware, handel ludźmi online czy mowa nienawiści. Już podczas ceremonii podpisania dokument zyskał szerokie poparcie – choć towarzyszą mu poważne zastrzeżenia dotyczące praw człowieka i wolności badań bezpieczeństwa.

W skrócie

  • Status: traktat otwarty do podpisu 25 października 2025 r. w Hanoi; 65 państw podpisało w pierwszym dniu. Wejście w życie: po złożeniu 40 dokumentów ratyfikacyjnych. Okno podpisów pozostaje otwarte do 31 grudnia 2026 r.
  • Cel: ujednolicenie przestępstw, procedur dowodowych i kanałów współpracy transgranicznej w sprawach cyber.
  • Kto podpisuje: m.in. UE oraz państwa członkowskie (zgoda na podpis wyrażona wcześniej przez Radę UE).
  • Kontrowersje: branżowe porozumienie Cybersecurity Tech Accord (m.in. Microsoft, Meta) i organizacje praw człowieka ostrzegają przed ryzykiem nadużyć („traktat nadzoru”) i penalizacją etycznych badań.

Kontekst / historia / powiązania

Negocjacje konwencji prowadziło UNODC po latach dyskusji nad potrzebą globalnych, a nie tylko regionalnych (np. europejskich), ram walki z cyberprzestępczością. Sekretarz Generalny ONZ podkreślił koszt cyberprzestępczości liczony w „bilionach dolarów rocznie” i konieczność ułatwienia współpracy między organami ścigania.
Strona konwencji prowadzona przez UNODC potwierdza harmonogram: podpis w Hanoi, a następnie możliwość podpisywania w siedzibie ONZ w Nowym Jorku, z wejściem w życie 90 dni po 40. ratyfikacji.

Analiza techniczna / szczegóły traktatu

Choć pełny tekst jest obszerny, trzon instrumentu obejmuje trzy bloki, które mają największe znaczenie dla praktyków cyberbezpieczeństwa i zespołów prawnych:

  1. Katalog przestępstw – od oszustw (phishing), przez ataki z użyciem malware/ransomware, po przestępstwa związane z treścią (np. mowa nienawiści) definiowane według standardów ONZ. To rozszerzenie tradycyjnych ujęć „komputerowych” czynów zabronionych o kategorie, które w wielu jurysdykcjach są nadal rozproszone.
  2. Procedury dowodowe i e-dowody – zharmonizowane zasady zabezpieczania, utrwalania i udostępniania danych elektronicznych (logi, metadane, treści), ułatwiające szybką i zgodną z prawem wymianę materiału dowodowego między państwami. UNODC wskazuje, że konwencja ma promować „legalne badania” i zawiera klauzule ochrony praw człowieka.
  3. Współpraca transgraniczna – kanały pomocy prawnej, tryb „nagłych wniosków” i punkty kontaktowe 24/7, aby skrócić czas reakcji w incydentach transgranicznych. UE potwierdziła zamiar podpisu i wdrażania zgodnie z własnymi standardami praw człowieka.

Praktyczne konsekwencje / ryzyko

Dla firm (CISO, SOC, DPO):

  • Więcej wezwań międzynarodowych o dane: krótsze terminy na „preservation” i przekazanie logów/treści organom zagranicznym – zwłaszcza dla usług chmurowych i platform o zasięgu globalnym.
  • Zwiększona interoperacyjność procedur dowodowych – potencjalnie mniej „tarć” prawnych przy przekazywaniu e-dowodów do państw sygnatariuszy.
  • Ryzyka praw człowieka i R&D – Tech Accord ostrzega, że nieprecyzyjne definicje mogą ułatwić nadmierny nadzór i kryminalizować testy penetracyjne/bezpieczeństwa prowadzone w dobrej wierze, jeśli lokalne prawo implementujące będzie restrykcyjne. Potrzebne będą wyraźne wyjątki i bezpieczne przystanie dla badaczy (np. coordinated vulnerability disclosure).

Dla organów ścigania i CERT/CSIRT:

  • Szybszy dostęp do danych transgranicznych i łatwiejsze wspólne operacje w sprawach ransomware czy oszustw finansowych.

Rekomendacje operacyjne / co zrobić teraz

  1. Mapa jurysdykcyjna & readiness: zidentyfikuj, które kraje kluczowe dla Twojej działalności podpisały konwencję i śledź proces ratyfikacji (próg 40). Zaktualizuj playbooki SOC/LERT o tryby współpracy transgranicznej.
  2. Retencja i łańcuch dowodowy: ustandaryzuj politykę data preservation (czas, zakres, integralność), aby spełnić oczekiwania nowych kanałów pomocy prawnej.
  3. Legal & privacy by design: oceniaj wnioski o dane pod kątem zgodności z lokalnym prawem, RODO oraz klauzulami praw człowieka przewidzianymi przez konwencję; dokumentuj podstawy prawne i proporcjonalność.
  4. Program CVD/bug bounty: wprowadź/wyraźnie opisz zasady coordinated vulnerability disclosure i zakres „dozwolonych testów” (safe harbor) – to ogranicza ryzyko penalizacji etycznych badań w krajach o ostrzejszej implementacji. (Obawy branży: Cybersecurity Tech Accord).
  5. Ćwiczenia purple team: przetestuj scenariusze żądań danych z państw trzecich (różne formaty, SLA, szyfrowanie end-to-end), uwzględniając eskalacje do DPO/Legal.

Różnice / porównania z innymi przypadkami

Konwencja ONZ ma ambicję globalnego zasięgu i wspólnych, minimalnych standardów. W porównaniu z dotychczasową mozaiką porozumień i instrumentów regionalnych, stawia mocny akcent na ułatwienie dostępu do e-dowodów i mechanizmy 24/7. Jednocześnie zakres kategorii przestępstw i możliwe ingerencje w prywatność są szersze niż w wielu dotychczasowych reżimach – stąd krytyka NGO i sektora technologicznego, by implementacje krajowe nie prowadziły do nadużyć.

Podsumowanie / kluczowe wnioski

  • To się dzieje teraz: 25 października 2025 r. w Hanoi ruszył proces podpisywania; 65 podpisów na starcie podnosi szansę na szybkie przekroczenie progu 40 ratyfikacji.
  • Dla biznesu: przygotuj się na więcej i szybsze żądania o dane z zagranicy oraz audyty łańcucha dowodowego.
  • Dla bezpieczeństwa i prywatności: zadbaj o jasne wyjątki dla badań i procesy oceny proporcjonalności – inaczej istnieje ryzyko „efektu mrożącego” dla społeczności security.

Źródła / bibliografia

  • Reuters: „UN cybercrime treaty to be signed in Hanoi to tackle global offences” (25 października 2025). (Reuters)
  • UNODC (press): „UN Convention against Cybercrime opens for signature in Hanoi, Viet Nam” (25 października 2025). (UNODC)
  • UNODC (status): „United Nations Convention against Cybercrime — status & entry into force”. (UNODC)
  • Rada UE: „Fighting cybercrime: EU to sign UN Convention on cybercrime” (13 października 2025). (Consilium)
  • Cybersecurity Tech Accord: „Calls for changes to new UN treaty…” (29 lipca 2024) – stanowisko branży. (Cybersecurity Tech Accord)