Archiwa: VPN - Strona 74 z 80 - Security Bez Tabu

Tag: VPN

Płatności okupu za ransomware spadły w III kw. 2025 roku. Skąd ten dołek — i co to znaczy dla firm?

Wprowadzenie do problemu / definicja zjawiska

W III kwartale 2025 r. branża odnotowała rekordowo niski odsetek płatności okupu — zaledwie 23% incydentów zakończyło się zapłatą. To wniosek z najnowszej analizy firmy reagowania na incydenty Coveware, która jednocześnie raportuje gwałtowny spadek średniej płatności do ~376,9 tys. USD (–66% kw./kw.) oraz medianę 140 tys. USD (–65% kw./kw.). Coveware wiąże to z coraz częstszą odmową płatności przez duże przedsiębiorstwa oraz mniejszymi żądaniami wobec firm ze średniego segmentu. Informacje podsumował również SecurityWeek.

W skrócie

  • 23% – historycznie najniższy wskaźnik płatności (Q3 2025).
  • 376 941 USD / 140 000 USD – średnia / mediana zapłaconego okupu (–66% / –65% vs Q2).
  • Najaktywniejsze grupy: Akira, Qilin (oraz silna aktywność INC Ransom, Play, SafePay wg ZeroFox).
  • Sektory najczęściej na celowniku: usługi profesjonalne, wciąż wysoko produkcja i budownictwo.
  • Ekosystem wycieków: liczba aktywnych „data leak sites” osiągnęła 81 w Q3 (rekord wg ReliaQuest).
  • Wolumen incydentów: ZeroFox naliczył 1 429 przypadków R&DE w Q3 (≈+5% kw./kw., –27% vs rekordowego Q1).

Kontekst / historia / powiązania

Spadek płatności to kontynuacja trendu, który przyspieszył po licznych akcjach organów ścigania i upadkach znanych marek RaaS w latach 2024–2025. Według Coveware ekonomia cyberwymuszeń uległa erozji: koszty operacyjne rosną, a „double extortion” (same wycieki danych) coraz rzadziej skłaniają duże firmy do zapłaty. Równolegle rynek fragmentuje się — aktywność mniejszych kolektywów oraz rekordowa liczba witryn wyciekowych podtrzymują presję ataków, choć nie zawsze przekładają się na przychody grup.

Analiza techniczna / szczegóły

Wektory wejścia. Coveware wskazuje na kompromitację zdalnego dostępu (VPN, bramki chmurowe, RDP), socjotechnikę (w tym nadużycia helpdesku) oraz wykorzystanie luk jako trzy filary inicjalnego dostępu. Rosnąca „zbieżność” technik to m.in. uzyskiwanie dostępu poprzez wymuszone procesy wsparcia i OAuth. W TTPs przeważa eksfiltracja danych (filary TA0010/TA0008/TA0011).

Nowe taktyki — łapówki dla insiderów. Opisany przez Coveware przypadek próby przekupstwa pracownika przez gang Medusa pokazuje, że grupy sięgają po insider threats jako środek do wdrożenia szyfratora u celów o wyższej dojrzałości.

Aktywność grup i branż. ZeroFox ocenił, że w Q3 Qilin i Akira należały do najaktywniejszych, a usługi profesjonalne wyraźnie zyskały na zainteresowaniu napastników (do tej pory dominowały produkcja/budownictwo/ochrona zdrowia).

Praktyczne konsekwencje / ryzyko

  • Negocjacje: Linie obrony „nie płacimy” są dziś skuteczniejsze — płacenie za „zduszenie” wycieku bywa bezwartościowe, a „nuisance payments” podtrzymują rynek wymuszeń.
  • Ryzyko operacyjne: Nasilenie ataków wolumenowych na mid-market oznacza krótszy czas do awarii usług i presję na zespoły IT/OT. Źle skonfigurowane dostępny zdalne, OAuth i „dług konfiguracyjny” to najsłabsze ogniwa.
  • Ryzyko reputacyjne/regulacyjne: Sektory usług profesjonalnych i produkcji narażają klientów/łańcuch dostaw; wycieki danych mogą inicjować dochodzenia regulatorów.

Rekomendacje operacyjne / co zrobić teraz

  1. Uderz w wektory wejścia
    • Egzekwuj MFA wszędzie, szczególnie dla VPN, bram SaaS i uprzywilejowanych kont; wymuś FIDO2 jako standard.
    • Zamknij „dług konfiguracyjny”: rotacja starych kont/kluczy, blokada nieużywanych integracji OAuth, rejestrowanie i alertowanie nietypowych logowań międzytenantowych.
  2. Wykrywanie i segmentacja
    • EDR/XDR + analityka lateral movement (RDP/SSH/PSExec) z regułami anomalii.
    • Segmentacja sieci / mikrosegmentacja (zwł. IT/OT wg modelu Purdue w środowiskach krytycznych).
  3. Twarde procesy helpdesku
    • Twarde procedury weryfikacji przy resetach hasła/MFA; testy socjotechniczne typu red-team.
  4. Backup & odzyskiwanie
    • 3-2-1, izolacja kopii (immutable), regularne testy RTO/RPO i recovery „bez klucza napastnika”.
  5. Plan na wyciek (bez płatności)
    • Z góry opracuj playbook eksfiltracji: kontakt z prawnikami ds. prywatności, ocena materiału, komunikacja kryzysowa, działania wobec klientów/partnerów — bez „nuisance payments”.
  6. Program insiderski
    • Kanały zgłoszeń, szkolenia anty-korupcyjne, monitoring ryzyk personalnych; detekcja anomalii dostępu.
  7. Higiena podatności
    • Patchowanie systemów brzegowych i urządzeń sieciowych; priorytetyzacja luk historycznie wykorzystywanych przez RaaS.

Różnice / porównania z innymi przypadkami

  • Q3 vs Q2 2025: średnia i mediana płatności spadły o ~2/3 kwartał do kwartału, co wskazuje na zmianę „unit economics” po stronie gangów i większą determinację dużych ofiar, by nie płacić.
  • „Big-game hunting” vs „mid-market at scale”: Chociaż wielkie ofiary coraz częściej odmawiają, kampanie wysokowolumenowe (np. Akira, Qilin) trzymają tempo, celując w firmy, które łatwiej zakłócić, ale które zapłacą mniejsze kwoty.
  • Ekosystem wycieków: Rekord 81 aktywnych DLS w Q3 nie przełożył się na wzrost płatności — presja reputacyjna działa, lecz coraz rzadziej konwertuje na przelewy.

Podsumowanie / kluczowe wnioski

Ransomware nie zwalnia, ale płacić się „nie opłaca”. Q3 2025 to przełom: mniej płatności, mniejsze wypłaty i rosnące koszty po stronie napastników. Organizacje, które inwestują w przygotowanie do wycieku i mają twarde procesy tożsamości/remote access, skuteczniej negocjują i częściej wychodzą bez zapłaty. Dalsze utrzymanie presji — technicznej, prawnej i operacyjnej — może dalej dławić ekonomię wymuszeń.

Źródła / bibliografia

  • Coveware — „Insider Threats Loom while Ransom Payment Rates Plummet” (24 października 2025) — raport Q3 2025. (coveware.com)
  • SecurityWeek — „Ransomware Payments Dropped in Q3 2025: Analysis” (27 października 2025). (SecurityWeek)
  • ReliaQuest — „Ransomware and Cyber Extortion in Q3 2025” (8 października 2025). (ReliaQuest)
  • ZeroFox — „Q3 2025 Ransomware Wrap-Up” (3 października 2025). (ZeroFox)

CISA nakazuje załatać krytyczną lukę w WSUS na Windows Server (CVE-2025-59287). Trwa aktywne wykorzystywanie

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities krytyczną lukę CVE-2025-59287 w Windows Server Update Services (WSUS) i nakazała federalnym instytucjom załatanie systemów. Podatność umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia na serwerze WSUS, z uprawnieniami SYSTEM. Microsoft wydał aktualizacje out-of-band dla wszystkich wspieranych wersji Windows Server. Luka jest aktywnie wykorzystywana w atakach, także po publikacji PoC.

W skrócie

  • Identyfikator: CVE-2025-59287 (CVSS: krytyczny; RCE bez interakcji użytkownika).
  • Dotyczy: wyłącznie serwerów z włączoną rolą WSUS (domyślnie wyłączona).
  • Wejście/rozprzestrzenianie: podatność potencjalnie „wormowalna” między serwerami WSUS.
  • Status: aktywne skanowanie i realne kompromitacje; dostępne PoC.
  • Działania Microsoft: łatki OOB + zalecane obejścia (tymczasowe wyłączenie WSUS / blokada 8530/8531).
  • Działania CISA: wpis w KEV i nakaz szybkiego patchowania.

Kontekst / historia / powiązania

23–24 października 2025 r. Microsoft opublikował aktualizacje poza standardowym cyklem, po tym jak badacze udostępnili proof-of-concept oraz zaczęły pojawiać się doniesienia o atakach na wystawione publicznie instancje WSUS (standardowe porty 8530/TCP (HTTP) i 8531/TCP (HTTPS)). CISA dorzuciła podatność do KEV, co w praktyce oznacza potwierdzoną eksploatację w środowiskach produkcyjnych.

Analiza techniczna / szczegóły luki

Badacze wskazują, że podatność wynika z niebezpiecznej deserializacji w przestarzałym mechanizmie (BinaryFormatter) w ścieżce przetwarzania ciasteczka autoryzacyjnego. Atakujący może wysłać specjalnie spreparowane dane do endpointu związanym z obsługą cookies (np. GetCookie()), co prowadzi do wykonania arbitralnego kodu jako SYSTEM. To umożliwia przejęcie serwera WSUS bez wcześniejszych uprawnień.

Dodatkowo zespoły reagowania (m.in. Huntress) raportują realne próby i udane włamania na hosty WSUS po publikacji łatki, co jest typowym wzorcem „patch-and-exploit”.

Praktyczne konsekwencje / ryzyko

  • Łańcuch aktualizacji jako wektor rozprzestrzeniania: kompromitacja WSUS może umożliwić podszycie się pod zaufane aktualizacje, ich podpisywanie i dystrybucję złośliwych pakietów do całej floty Windows. W środowiskach z ConfigMgr/SCCM ryzyko jest szczególnie wysokie.
  • Ruch sieciowy i ekspozycja usług: liczne instancje WSUS są zidentyfikowane w Internecie na portach 8530/8531; skanowanie tych portów to popularna technika rozpoznawcza.
  • Uprawnienia SYSTEM = pełne przejęcie: po RCE napastnik może zrzucać poświadczenia, modyfikować zasady aprobaty aktualizacji, pivotować w AD oraz trwale utrzymywać się w infrastrukturze.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast zainstaluj aktualizacje OOB odpowiednie dla Twojej wersji Windows Server (po instalacji wymagany restart). Przykładowo dla Windows Server 2022: KB5070884. Zastosuj OOB także zamiast zaległej łatki październikowej — Microsoft wskazuje, że OOB ją zastępuje.
  2. Jeśli patch nie jest możliwy „od ręki”: tymczasowo wyłącz rolę WSUS lub zablokuj ruch na 8530/8531/TCP (co zatrzyma dystrybucję aktualizacji, ale usunie wektor ataku). Zaplanuj jak najszybszy powrót do normalnego trybu po patchu.
  3. Inwentaryzacja i ekspozycja: zinwentaryzuj wszystkie serwery WSUS (także downstream) i sprawdź, czy nie są wystawione do Internetu na 8530/8531. W miarę możliwości ogranicz dostęp tylko z sieci zaufanych/VPN. (Porty domyślne potwierdza dokumentacja Microsoft).
  4. Hunting po kompromitacji (jeśli WSUS był wystawiony lub niezałatany):
    • Przejrzyj logi IIS/WSUS pod kątem nietypowych żądań do endpointów autoryzacyjnych.
    • Zweryfikuj łańcuch zaufania i certyfikaty używane do podpisywania lokalnie publikowanych aktualizacji; rozważ ich rotację.
    • Sprawdź listy zatwierdzonych aktualizacji pod kątem nieznanych/niestandardowych pakietów.
    • Przeprowadź skan integralności i EDR sweep serwera oraz wybranych stacji. (Wskazówki operacyjne wynikają z obserwacji zespołów reagowania.)
  5. Hardening na przyszłość: minimalizuj powierzchnię ataku WSUS (brak ekspozycji publicznej, segmentacja, WAF/reverse-proxy), monitoruj anomalie aprobat aktualizacji i integruj WSUS-related telemetry do SIEM/SOAR.

Różnice / porównania z innymi przypadkami

W odróżnieniu od wielu błędów w usługach Windows, CVE-2025-59287 dotyka komponentu zarządzania aktualizacjami. To zwiększa ryzyko supply-chain wewnątrz organizacji: przejęty WSUS może stać się „zaufanym” dystrybutorem złośliwych paczek — podobnie do scenariuszy ataków na narzędzia MDM/aktualizacyjne, ale z niższą barierą wejścia (RCE bez uwierzytelnienia). Doniesienia branżowe wskazują też, że pierwotne poprawki z Patch Tuesday były niewystarczające, dlatego Microsoft wydał aktualizacje OOB.

Podsumowanie / kluczowe wnioski

  • Patch teraz: CVE-2025-59287 jest aktywnie wykorzystywana, a WSUS to „koronny węzeł” dystrybucji aktualizacji w AD.
  • Zamknij 8530/8531 i/lub wyłącz WSUS, jeśli nie możesz od razu zaktualizować — świadomie akceptując przerwę w dostarczaniu łatek.
  • Sprawdź integralność łańcucha aktualizacji (certyfikaty, aprobaty, anomalie publikacji).
  • Ogranicz ekspozycję WSUS do sieci zaufanych i włącz telemetry/hunting.

Źródła / bibliografia

  1. BleepingComputer — nakaz CISA dla agencji federalnych i status eksploatacji. (BleepingComputer)
  2. Microsoft — strona KB (przykładowo WS2022 KB5070884) z informacjami o OOB, restarcie i zmianach funkcjonalnych. (Microsoft Support)
  3. Huntress — obserwacje ataków na WSUS po wydaniu łatek (analiza incydentów). (Huntress)
  4. HawkTrace — szczegóły techniczne PoC (deserializacja, AuthorizationCookie, BinaryFormatter / EncryptionHelper.DecryptData()). (HawkTrace)
  5. NVD (NIST) — potwierdzenie wpisu w CISA KEV dla CVE-2025-59287. (NVD)

Qilin (Agenda) – jak działa jedna z najaktywniejszych operacji ransomware w 2025 r. według Cisco Talos

Wprowadzenie do problemu / definicja luki

Cisco Talos opisał szereg incydentów z 2025 r., które ujawniają aktualny łańcuch ataku Qilin (dawniej Agenda) – jednego z najbardziej „produktywnych” gangów ransomware. Zespół IR Talosa obserwuje ponad 40 publikacji ofiar miesięcznie na stronie wycieków Qilin, ze szczytami aktywności sięgającymi ~100 przypadków (czerwiec i sierpień 2025). Najmocniej cierpi produkcja, a dalej usługi profesjonalne i handel hurtowy.

W skrócie

  • Model RaaS: Qilin działa jako usługa, rozwijając platformę i udostępniając ją afilantom; podwójny szantaż (szyfrowanie + wyciek).
  • Początkowy dostęp: w badanych sprawach częste są nadużycia ważnych kont/VPN bez MFA, czasem zmiany GPO w AD w celu włączenia RDP; obserwowano także spear-phishing i wykorzystanie wycieków haseł.
  • Eksfiltracja: paczkowanie WinRAR, przesył przez legalne narzędzia (np. Cyberduck do Backblaze), „ręczne” przeglądanie danych nawet notatnikiem/mspaint.
  • Ruch boczny i utrzymanie: PsExec, modyfikacje zapory i RDP, instalacje wielu RMM (AnyDesk, ScreenConnect, Chrome Remote Desktop itd.).
  • Szyfrowanie: wariant Qilin.B (Rust) używa AES-256-CTR lub ChaCha20 + RSA-4096 (OAEP), terminacja usług backup/DB/AV, czyszczenie logów i niszczenie VSS.
  • Skala zagrożenia: w II kw. 2025 Qilin był najaktywniejszym ransomware wobec podmiotów SLTT w USA (MS-ISAC).

Kontekst / historia / powiązania

Qilin (wcześniej Agenda) działa od lipca 2022 r., oferując RaaS i prowadząc wycieki danych na własnym portalu. Z czasem ewoluował technicznie (m.in. przepisany na Rust; utrzymano też wersje Linux/ESXi) i organizacyjnie (aktywny rekrut na forach). W 2024 r. HHS/HC3 publikował profil zagrożenia wskazujący na spear-phishing i warianty Windows/Linux; w 2024/2025 Halcyon śledził wariant Qilin.B z usprawnioną kryptografią i ewakuacją kluczowych artefaktów.

W 2025 r. incydenty przypisywane Qilin odnotowano w różnych sektorach i krajach; przykładem jest głośny atak na japoński Asahi Group (zakłócenia produkcji i publikacja danych).

Analiza techniczna / szczegóły luki

Wejście / inicjalny dostęp

  • Nadużycie ważnych kont i brak MFA na VPN; wzmożone próby NTLM po pojawieniu się haseł w darknecie; możliwe zmiany GPO w celu ułatwienia RDP.
  • (Historycznie) spear-phishing, w tym złośliwe załączniki i kradzież poświadczeń.

Rozpoznanie i zbieranie

  • nltest, net user, whoami /priv, tasklist; narzędzia skanowania sieci; dedykowany pakiet do zrzutu haseł (NirSoft, Mimikatz). Modyfikacja WDigest (UseLogonCredential=1) ułatwiająca pozyskanie plaintextów. Dane agregowane skryptami i eksportowane (SMTP, pliki wynikowe z kodowaniem Windows-1251).

Eksfiltracja

  • Archiwizacja WinRAR, inspekcja dokumentów nawet przez notepad.exe/mspaint.exe/iexplore.exe; nadużycie Cyberduck do chmury (Backblaze) z podziałem na części.

Eskalacja uprawnień i ruch boczny

  • Dodawanie napastniczych kont do Local Administrators, wymuszanie RDP, tworzenie udziałów typu net share c=c:\ /grant: everyone,full; rozproszenie przez PsExec. Obserwacje wielu RMM (AnyDesk, ScreenConnect, Distant Desktop, QuickAssist, Chrome Remote Desktop).

Unikanie obrony

  • Silnie zaciemniony PowerShell z wyłączeniem AMSI, obejściem walidacji TLS oraz włączeniem Restricted Admin dla RDP (hash-based auth).

Przygotowanie środowiska i trwałość

  • Wyłączanie/ubijanie procesów AV/backup/DB, czyszczenie logów, tworzenie Scheduled Task („TVInstallRestore”) i wpisów Run podszywających się pod TeamViewer.

Szyfrowanie (Qilin.B)

  • Kombinacja AES-256-CTR (jeśli dostępne AES-NI) / ChaCha20 (fallback) + RSA-4096/OAEP do ochrony kluczy; noty okupu README-RECOVER-[company_id].txt; rozszerzenia plików wg unikalnego ID ofiary. Wykrywana enumeracja udziałów i dysków, ukierunkowanie na ClusterStorage/CSV (Hyper-V/VM/VHDX) przy jednoczesnym unikaniu pętli po symlinkach. Usuwanie VSS i autodestrukcja binarium.

IOCs i detekcje

  • Talos publikuje wykazy IOC (GitHub), Snort SID oraz ClamAV (np. Win.Ransomware.Qilin, SystemBC, Cobalt Strike).

Praktyczne konsekwencje / ryzyko

  • Czas przestoju: ataki celują w środowiska wirtualizacji i plików współdzielonych (CSV/Hyper-V), co zwiększa wpływ na produkcję i usługi krytyczne.
  • Ryzyko reputacyjne i prawne przez systematyczną ekfiltrację (Backblaze/Cyberduck) oraz publikację na stronie wycieków.
  • Trend rynkowy: Qilin był w Q2 2025 najaktywniejszą rodziną wobec SLTT w USA, co potwierdza jego dojrzałość operacyjną i tempo działania.
  • Incydenty głośne medialnie (np. Asahi) pokazują realny wpływ na produkcję i łańcuch dostaw.

Rekomendacje operacyjne / co zrobić teraz

Kontrole prewencyjne

  1. MFA bez wyjątków na VPN, RDP, poczcie i aplikacjach krytycznych; wymuś klient-based MFA dla kont uprzywilejowanych.
  2. Higiena tożsamości: rotacja haseł po wyciekach, blokady na „password spraying” (T1110.003), monitorowanie NTLM.
  3. Twardnienie RDP: wyłącz zdalne logowanie tam, gdzie zbędne; kontrola fDenyTSConnections, ograniczenia sieciowe/Jump Host; Restricted Admin tylko jeśli świadomie zarządzany.
  4. Egress/Exfil kontrola: DLP/CTI-driven blokady dla Backblaze i nietypowych klientów S3/WebDAV; monitoruj użycie Cyberduck, WinRAR w trybie archiwizacji masowej.
  5. Backup i odzyskiwanie: izolowane kopie, testy odtwarzania, ochrona VSS przed usuwaniem; segmentacja Hyper-V/CSV.

Detekcja i reagowanie (SOC/SIEM/EDR)

  • Reguły: Snort/ClamAV zgodnie z publikacją Talos; korelacje dla PsExec, net share c=, WDigest UseLogonCredential=1, zaciemnionego PowerShell wyłączającego AMSI, nietypowego schtasks /Create /SC ONLOGON.
  • Artefakty RMM: wykrywaj instalacje/połączenia AnyDesk/ScreenConnect/Chrome Remote Desktop/QuickAssist poza listą zatwierdzonych rozwiązań.
  • Kryptonotatki/rozszerzenia: alarmy na README-RECOVER-[company_id].txt oraz nowe rozszerzenia „.[company_id]”.

Procedury IR

  • Izolacja i triage hostów z aktywnością WinRAR/Cyberduck, ścieżkami Backblaze, masową terminacją usług bezpieczeństwa/backup.
  • Łańcuch dowodowy: zabezpieczenie logów przed czyszczeniem (wczesna centralizacja, forward-only, write-once).
  • Komunikacja kryzysowa i ocena ryzyka wycieku (PII, IP, dane produkcyjne).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Qilin vs. „typowy” RaaS 2025: podobnie jak inne operacje, Qilin intensywnie eksfiltruje i używa RMM/LOLBINs; odróżnia go ukierunkowanie na CSV/Hyper-V i szerokie wykorzystanie legalnych narzędzi do eksfiltracji (Cyberduck).
  • Qilin.B (Rust) wyróżnia kombinowany wybór szyfru (AES-NI → AES-CTR, fallback → ChaCha20) i mocną ochronę kluczy RSA-4096/OAEP, co komplikuje odzysk bez kluczy.
  • Wieloplatformowość: raporty z 2025 r. pokazują nawet wdrażanie binarek Linux na systemach Windows przez RMM/BYOVD, co utrudnia detekcję.

Podsumowanie / kluczowe wnioski

Qilin utrzymuje wysokie tempo kampanii i dojrzały łańcuch ataku: kradzież poświadczeń (WDigest/Mimikatz/NirSoft), ruch boczny (PsExec/RDP/RMM), eksfiltracja przez chmurę (Cyberduck→Backblaze), a następnie szyfrowanie zoptymalizowane dla środowisk wirtualnych (CSV/Hyper-V) i agresywna ewakuacja artefaktów. Obrona wymaga dyscypliny IAM/MFA, twardnienia RDP/VPN, kontroli egress/exfil, oraz predefiniowanych detekcji TTP. Publikacje Cisco Talos i analizy branżowe (HHS/HC3, Halcyon, CIS, Trend Micro) dostarczają praktycznych wskaźników i reguł do natychmiastowego wdrożenia.

Źródła / bibliografia

  1. Cisco Talos – Uncovering Qilin attack methods exposed through multiple cases, 26 października 2025 (TTP, IOCs, Snort/ClamAV). (Cisco Talos Blog)
  2. Halcyon – New Qilin.B Ransomware Variant…, 24 października 2024 (kryptografia, mechanika szyfrowania). (Halcyon)
  3. HHS/HC3 – Qilin (aka Agenda) Threat Profile, 18 czerwca 2024 (wektory wejścia, Windows/Linux). (hhs.gov)
  4. CIS (MS-ISAC) – Qilin: Top Ransomware Threat to SLTTs in Q2 2025, 11 września 2025 (trend aktywności). (CIS)
  5. Trend Micro – Agenda Ransomware Deploys Linux Variant on Windows Systems…, 23 października 2025 (nietypowe wdrożenia Linux przez RMM/BYOVD). (www.trendmicro.com)

SafePay atakuje Xortec: grupa ransomware grozi publikacją danych niemieckiego dostawcy monitoringu wizyjnego

Wprowadzenie do problemu / definicja luki

Grupa ransomware SafePay dodała Xortec GmbH (niemiecki dystrybutor i integrator systemów profesjonalnego monitoringu wizyjnego oraz infrastruktury IP) na swoją stronę wyciekową i twierdzi, że wykradła dane spółki. Według pierwszych doniesień termin spełnienia żądań przypada na 27 października 2025 r. (dzisiaj), co ma zwiększyć presję negocjacyjną na ofierze. Na ten moment brak publicznych dowodów ujawnionych plików, lecz wpis na DLS (Data Leak Site) zwykle poprzedza publikację „dowodu życia” lub pakietów danych.

W skrócie

  • Kto? SafePay – jedna z najbardziej aktywnych grup ransomware 2025 r.
  • Co? Roszczenie ataku na Xortec; wpis na stronie wyciekowej (double extortion).
  • Kiedy? Wpis wykryto 24–27 października 2025 r.; deadline wyznaczony na 27.10.2025.
  • Dlaczego to ważne? Xortec obsługuje rozwiązania dla monitoringu i infrastruktury sieciowej – ewentualny wyciek może ujawnić dane projektowe, konfiguracje, schematy klientów i dostęp serwisowy.
  • Kontekst rynkowy: SafePay od końca 2024 r. konsekwentnie rośnie, celując w organizacje w DE/UK/US; raporty branżowe plasują ją w czołówce operacji ransomware 2025 r.

Kontekst / historia / powiązania

SafePay pojawił się jesienią 2024 r. i szybko stał się jedną z najaktywniejszych operacji, budując reputację dzięki agresywnemu double extortion (szyfrowanie + kradzież danych) i głośnym kampaniom przeciw dużym podmiotom. Analitycy zwracają uwagę na szybkie tempo publikacji ofiar oraz presję czasową w żądaniach okupu.

Analiza techniczna / szczegóły luki

TTPs SafePay (wybór, na podstawie raportów publicznych):

  • Wektory dostępu początkowego: częste wykorzystanie słabych/kompromitowanych poświadczeń i ekspozycji zdalnego dostępu (VPN/RDP), a także spear-phishing i „call-back” (vishing) do eskalacji uprawnień.
  • Ekfiltracja i przygotowanie wycieku: exfil danych przed szyfrowaniem; strukturyzacja listingów na DLS z twardymi deadline’ami; użycie wskaźników (mutexy) zapobiegających wielokrotnemu uruchomieniu ładunku.
  • Model operacyjny: niezależna operacja (nie klasyczny RaaS), szybkie „time-to-encrypt”, elementy kodu i praktyk znane z ekosystemu LockBit (modyfikacje narzędzi i taktyk).

Uwaga: w przypadku Xortec szczegóły wektora wejścia i zakres potencjalnie wykradzionych danych nie zostały publicznie potwierdzone w momencie publikacji; jedynym twardym artefaktem jest wpis na stronie wyciekowej przypisany SafePay.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla klientów i partnerów Xortec: możliwe ujawnienie dokumentacji projektowej, topologii sieci, konfiguracji kamer/NVR, kont serwisowych oraz danych kontaktowych partnerów i klientów. Taki wyciek ułatwia ransomware z wtórnej kompromitacji i atak łańcucha dostaw (pivotowanie do środowisk klientów). W branży bezpieczeństwa fizycznego ekspozycja konfiguracji bywa równoznaczna z ułatwieniem sabotażu systemów CCTV. (Wniosek analityczny na podstawie profilu biznesowego Xortec i modus operandi SafePay).
  • Ryzyko ciągłości działania: presja czasu (deadline 27.10.2025) zwiększa prawdopodobieństwo publikacji paczek „proof-pack” i eskalacji taktyk wymuszających kontakt.

Rekomendacje operacyjne / co zrobić teraz

Dla Xortec i podmiotów pokrewnych (dystrybutorzy/integratorzy security-tech):

  1. Zarządzanie incydentem: izolacja segmentów, rotacja poświadczeń uprzywilejowanych, przegląd kont serwisowych i dostępów klientowskich; weryfikacja dzienników VPN/IdP pod kątem anomalii.
  2. Redukcja ekspozycji zdalnej: wymusić MFA na wszystkich kanałach zdalnych (VPN/RDP/SSH), odciąć przestarzałe profile i nieużywane konta.
  3. Kontrola danych klientów: poinformować partnerów o potencjalnym wycieku, udostępnić wskaźniki kompromitacji (IoC) i rekomendacje rotacji haseł/API.
  4. Twarde zabezpieczenia endpointów/serwerów: blokady wykonywalnych w ścieżkach użytkownika, deny-by-default dla skryptów i makr, polityki application allow-listing/ring-fencing dla narzędzi administracyjnych.
  5. Przygotowanie na publikację danych: plan PR/obsługi prawnej, monitoring DLS/paste-sites; gotowe playbooki de-tokenizacji/rotacji kluczy, natychmiastowe unieważnianie certyfikatów i kluczy dostępowych, jeśli pojawią się w wycieku.
  6. Współpraca z organami i zespołami CSIRT: raport do właściwych służb i skorzystanie z publicznych wytycznych dot. reakcji na ransomware.

Dla klientów końcowych (używających rozwiązań dystrybuowanych/serwisowanych przez Xortec):

  • Zmień poświadczenia (lokalne i chmurowe) powiązane z usługami serwisowymi Xortec; przejrzyj listy zaufanych adresów IP i kluczy API.
  • Audyt konfiguracji CCTV/NVR/VMS: wyłącz domyślne konta, włącz logowanie i alertowanie o nieudanych logowaniach, wymuś TLS i segmentację sieci (oddziel CCTV od sieci biurowej).
  • Śledź publikacje wyciekowe przypisywane do Xortec – szybka rotacja sekretów minimalizuje okno nadużycia.

Różnice / porównania z innymi przypadkami

W porównaniu z klasycznymi operacjami RaaS, SafePay działa bardziej „jednolicie” (mniej afiliantów, bardziej spójne TTPs), częściej stosuje agresywną presję czasową oraz dużą liczbę ofiar miesięcznie. Raporty z 2025 r. potwierdzają wysoką dynamikę (dziesiątki ofiar/miesiąc), co zbliża SafePay do topowych graczy ubiegłych lat pod względem skali, choć zestaw narzędzi i procedur wskazuje na adaptacje znanych technik (np. elementy z ekosystemu LockBit).

Podsumowanie / kluczowe wnioski

  • Incydent nie został jeszcze oficjalnie potwierdzony przez Xortec, ale wpis SafePay na DLS oraz monitoring niezależnych serwisów śledzących ransomware zwiększają wiarygodność roszczenia.
  • Ryzyko wtórne dotyczy partnerów i klientów – szczególnie jeśli w wycieku znajdą się konfiguracje systemów i dane dostępowe.
  • Organizacje w ekosystemie security-tech powinny od razu wykonać rotację sekretów i twarde utwardzenie zdalnych dostępów, bazując na sprawdzonych guideline’ach reagowania na ransomware.

Źródła / bibliografia

  1. Security Affairs – „Safepay ransomware group claims the hack of Xortec (DE)” (27.10.2025). (Security Affairs)
  2. Ransomware.live – wpis ofiary „xortec.de” (24.10.2025). (ransomware.live)
  3. Quorum Cyber – SafePay Ransomware Report (TTPs, aktywność 2025). (Quorum Cyber)
  4. Bitdefender – „SafePay Ransomware: How a Non-RaaS Group Executes…” (analiza trendów 2025). (Bitdefender)
  5. CISA – Ransomware Guide (wytyczne reagowania i prewencji). (CISA)

Techniczne I Organizacyjne Środki Bezpieczeństwa Wymagane Przez NIS2

Dlaczego techniczne i organizacyjne środki bezpieczeństwa są kluczowe dla zgodności z NIS2?

Dyrektywa NIS2 stawia jasne wymagania: organizacje objęte jej zakresem muszą wdrożyć odpowiednie i proporcjonalne środki cyberbezpieczeństwa – zarówno techniczne, jak i organizacyjne. Nie chodzi tu o sztuczną biurokrację czy „odhaczanie” zgodności na papierze. NIS2 wymusza realne zabezpieczenia, które mają chronić krytyczne usługi i dane przed współczesnymi zagrożeniami.

Czytaj dalej „Techniczne I Organizacyjne Środki Bezpieczeństwa Wymagane Przez NIS2”

CISA ostrzega: krytyczna luka w LanScope Endpoint Manager aktywnie wykorzystywana (CVE-2025-61932)

Wprowadzenie do problemu / definicja luki

Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) nowy wpis dotyczący LanScope Endpoint Manager (on-premises) firmy MOTEX. Luka CVE-2025-61932 umożliwia zdalne wykonanie kodu (RCE) na stacjach końcowych poprzez „nieprawidłową weryfikację źródła kanału komunikacyjnego” (CWE-940). Producent potwierdził, że w środowiskach klientów odnotowano już nieautoryzowane pakiety z zewnątrz, co wskazuje na realne próby nadużycia.

W skrócie

  • ID luki: CVE-2025-61932; CVSS 4.0: 9.3, CVSS 3.0: 9.8 (krytyczna).
  • Dotyczy: LanScope Endpoint Manager On-Premises – komponenty Client (MR) i Detection Agent (DA); wersje 9.4.7.1 i wcześniejsze. Wersja chmurowa nie jest podatna.
  • Status: luka aktywnie wykorzystywana; wpis w CISA KEV (obowiązek szybkiej remediacji dla agencji federalnych USA).
  • Producent udostępnił poprawki; aktualizacja wymagana na klientach/agentach, bez konieczności podnoszenia wersji „managera”.
  • Termin dla FCEB (USA): rekomendowana data remediacji 12 listopada 2025 r. (wg doniesień prasowych).

Kontekst / historia / powiązania

LanScope (MOTEX, spółka z grupy Kyocera) jest szeroko wykorzystywany do inwentaryzacji i nadzoru stacji w regionie APAC, zwłaszcza w Japonii. JVN/JPCERT opublikowały notę o podatności tego samego dnia, co producent, potwierdzając wczesne sygnały ataków w środowiskach krajowych. Wcześniejsze lata notowały słabsze wagi podatności w produktach MOTEX, ale CVE-2025-61932 to pełnoprawny RCE bez uwierzytelnienia – krytyczny scenariusz podobny do wielu ostatnich fal masowych exploitów w oprogramowaniu do zarządzania stacjami.

Analiza techniczna / szczegóły luki

  • Klasa błędu: Improper Verification of Source of a Communication Channel (CWE-940). Mechanizm komunikacji przyjmuje pakiety z niezweryfikowanego źródła jako zaufane, co umożliwia atakującemu przesłanie specjalnie przygotowanych pakietów skutkujących wykonaniem dowolnego kodu.
  • Wektory ataku: sieć (AV:N), niska złożoność (AC:L), brak wymagań dot. uprawnień (PR:N) i interakcji użytkownika (UI:N) – zgodnie z ocenami CVSS 3.0/4.0. To oznacza, że eksploatacja jest możliwa zdalnie i masowo.
  • Zakres komponentów: wyłącznie Client (MR) i Detection Agent (DA) po stronie endpointów; instancja „managera” nie wymaga aktualizacji.

Praktyczne konsekwencje / ryzyko

  • Przejęcie stacji końcowych: zdalne RCE na hostach z agentem umożliwia instalację backdoorów, eskalację uprawnień lokalnych, ruch boczny i kradzież danych.
  • Skala zagrożenia: CISA klasyfikuje CVE jako aktywnie wykorzystywane – organizacje wystawiające agentów lub ich porty na niezaufowane sieci są w strefie najwyższego ryzyka.
  • Rynek/region: media branżowe raportują, że pierwsze przypadki i obserwacje napływają z Japonii (główna baza użytkowników), co zwiększa prawdopodobieństwo szybkiej eskalacji globalnej poprzez skanowanie Internetu.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowa aktualizacja agentów na wszystkich stacjach do jednej z wersji zawierających poprawkę:
    9.3.2.7, 9.3.3.9, 9.4.0.5, 9.4.1.5, 9.4.2.6, 9.4.3.8, 9.4.4.6, 9.4.5.4, 9.4.6.3, 9.4.7.3. (Wersje 9.4.7.1 i starsze są podatne). Nie ma potrzeby aktualizowania „managera”.
  2. Priorytetyzacja floty: zacznij od stacji z dostępem zdalnym/VPN oraz urządzeń w segmentach o podwyższonych uprawnieniach. (dobre praktyki ogólne)
  3. Tymczasowe zabezpieczenia do czasu patchowania:
    • Ogranicz ekspozycję sieciową kanałów komunikacji agentów do zaufowanych podsieci/VPN.
    • Filtruj/monitoruj nietypowy ruch przychodzący do procesów MR/DA oraz wzorce „nietypowych pakietów” wskazywane przez producenta/JVN.
  4. Hunting i detekcja:
    • Szukaj nowych/nieautoryzowanych procesów potomnych agenta, anomalii w narzędziach zdalnego dostępu, zmian w autostarcie i nowych kontach lokalnych. (praktyka oparta na wzorcach RCE)
    • Koreluj alerty z timeline’em od 20 października 2025 r. (data publikacji producenta/JVN).
  5. Zgodność i terminy: jeśli podlegasz wymogom FCEB/KEV – zaplanuj remediację do 12 listopada 2025 r.; dla innych organizacji rekomendowane „ASAP”.
  6. Komunikacja z biznesem: poinformuj właścicieli systemów o ryzyku przerwy w pracy podczas aktualizacji agenta oraz zapewnij okna serwisowe.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W przeciwieństwie do wielu ostatnich podatności w narzędziach EDR/EMM, CVE-2025-61932 uderza w komponenty klienckie, a nie w serwer/manager. To oznacza konieczność szerokiej dystrybucji aktualizacji na końcówkach, co bywa logistycznie trudniejsze, ale jednocześnie ogranicza ryzyko pojedynczego punktu kompromitacji (centralny serwer). Brak wymogu aktualizacji „managera” upraszcza change-management po stronie serwera.

Podsumowanie / kluczowe wnioski

  • Krytyczna luka RCE (CVE-2025-61932) w LanScope Endpoint Manager jest już wykorzystywana – nie czekaj na PoC.
  • Patchuj agentów (MR/DA) do wersji naprawionych – lista powyżej – manager bez zmian.
  • Zredukuj ekspozycję sieciową, wdroż monitoring i polowania na oznaki kompromitacji.
  • Dla podmiotów objętych KEV – deadline 12.11.2025; pozostali: działaj natychmiast.

Źródła / bibliografia

  • BleepingComputer: „CISA warns of Lanscope Endpoint Manager flaw exploited in attacks”. (BleepingComputer)
  • CISA KEV – wpis dla CVE-2025-61932. (cisa.gov)
  • MOTEX (producent) – „[重要なお知らせ]… Remote Code Execution… (CVE-2025-61932)”, 20.10.2025. (motex.co.jp)
  • JVN/JPCERT – „JVN#86318557: Lanscope Endpoint Manager (On-Premises) vulnerable to…”, 20–21.10.2025. (jvn.jp)
  • NVD – rekord CVE-2025-61932 (opis techniczny/CVSS). (NVD)
  • (Kontekst terminów): The Hacker News – „Critical Lanscope Endpoint Manager Bug…”, 23.10.2025. (The Hacker News)

Jak Wdrożyć Zarządzanie Ryzykiem I Nadzór Zgodnie Z Art. 21 Dyrektywy NIS2

Dlaczego zarządzanie ryzykiem stanowi fundament zgodności z NIS2

Dyrektywa NIS2 (Directive (EU) 2022/2555) nakłada na podmioty z sektorów krytycznych i ważnych obowiązek przyjęcia kompleksowego podejścia do zarządzania ryzykiem cyberbezpieczeństwa. Artykuł 21 tej dyrektywy wymaga wdrożenia adekwatnych i proporcjonalnych środków technicznych, operacyjnych i organizacyjnych w celu zabezpieczenia sieci i systemów informatycznych oraz ograniczenia wpływu incydentów.

Czytaj dalej „Jak Wdrożyć Zarządzanie Ryzykiem I Nadzór Zgodnie Z Art. 21 Dyrektywy NIS2”