Archiwa: VPN - Strona 96 z 103 - Security Bez Tabu

Tag: VPN

Schneider Electric i Emerson na liście ofiar ataków na Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

Cyberprzestępcy powiązani z marką wyciekową Cl0p zaczęli publikować listy rzekomych ofiar kampanii wymierzonej w Oracle E-Business Suite (EBS). Na stronie wyciekowej Cl0p pojawiły się m.in. Schneider Electric i Emerson, a przy tych nazwach udostępniono archiwa danych: ~2,7 TB (Emerson) oraz ~116 GB (Schneider Electric). Redakcje i badacze wskazują, że struktura plików i metadane sugerują pochodzenie informacji właśnie ze środowisk Oracle EBS.

W skrócie

  • Kampania trwa co najmniej od lipca–sierpnia 2025 r. i łączy kradzież danych ze szantażem e-mailowym wobec klientów Oracle EBS.
  • Oracle potwierdziło falę maili z żądaniami okupu kierowanych do klientów EBS i wezwało do pilnych aktualizacji.
  • Wektor wejścia wiązany jest z podatnościami CVE-2025-61882 (początkowo 0-day) oraz później CVE-2025-61884, dla których Oracle wydało poprawki awaryjne w październiku.
  • CISA potwierdziła, że CVE-2025-61884 jest aktywnie wykorzystywane (wpis do katalogu KEV).
  • Lista ofiar rośnie; niezależne relacje wymieniają obok Schneider/Emerson także inne organizacje (część już potwierdziła incydenty, jak Harvard czy Envoy Air).

Kontekst / historia / powiązania

9 października 2025 r. Google Threat Intelligence i Mandiant opisały szeroko zakrojoną kampanię wymuszeń wobec klientów Oracle EBS. Według ich analizy intruzi działający pod brandem Cl0p dostarczali do kadr kierowniczych masowe e-maile, przedstawiając listingi plików wykradzionych z EBS jako „dowód”. Reuters dzień później przytoczył komunikat Oracle o napływie zgłoszeń dot. e-maili z szantażem oraz rekomendacje aktualizacji. W kolejnych dniach zaczęły pojawiać się pierwsze publiczne potwierdzenia ofiar i wpisy w KEV CISA.

Analiza techniczna / szczegóły luki

Badacze opisują łańcuch ataku obejmujący:

  • Wykorzystanie podatności EBS (początkowo 0-day CVE-2025-61882, następnie poprawione również CVE-2025-61884) do zdalnego, nieautoryzowanego dostępu bez interakcji użytkownika. Oracle wydało awaryjne poprawki 4 października i kolejną aktualizację 11 października.
  • Cele HTTP obserwowane w kampanii (m.in. /OA_HTML/UiServlet, /OA_HTML/SyncServlet) oraz ścieżki wskazujące na nadużycia w komponentach EBS.
  • Implanty w Javie działające w pamięci (rodzina narzędzi opisywana przez Google/Mandiant m.in. jako GOLDVEIN, SAGEWAVE, SAGELEAF, SAGEGIFT), co utrudnia detekcję w oparciu o artefakty plikowe. Artykuł zawiera też wskaźniki kompromitacji (IP/C2, reguły YARA).

Ważne: CISA dodała CVE-2025-61884 do KEV, co wymusza na agencjach federalnych USA szybkie wdrożenie łatek i podkreśla realne nadużycia tej luki „w naturze”.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wycieku danych ERP (finanse, HR, łańcuch dostaw, logistyka) z instancji EBS, które w wielu firmach są krytycznym systemem back-office.
  • Szantaż i reputacja: Cl0p publikuje listingi i zrzuty, aby zwiększyć presję. Dla podmiotów przemysłowych (Schneider Electric, Emerson) ryzyko dotyczy w pierwszej kolejności poufności danych korporacyjnych, a nie bezpośrednio ICS/OT — ale kompromitacja ERP może pośrednio wpłynąć na operacje (łańcuch dostaw, zamówienia, serwis).
  • Efekt domina: rosnąca lista ofiar sugeruje skalę zbliżoną do wcześniejszych kampanii Cl0p (MOVEit, Cleo, Fortra) — masowy, ustandaryzowany model „data theft + extortion”.

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiast załataj EBS: zastosuj poprawki Oracle z 4 i 11 października 2025 r. dotyczące CVE-2025-61882/61884. Zweryfikuj, że środowiska są na bieżących poziomach CPU/PSU.
  2. Segmentacja i ekspozycja: odetnij EBS od Internetu (jeśli to możliwe), dopuszczaj dostęp przez VPN/ZTNA, listy kontroli dostępu, WAF z regułami na znane ścieżki i wzorce.
  3. Hunting w pamięci JVM: przeprowadź analizę pamięci procesów Java/WebLogic powiązanych z EBS pod kątem artefaktów GOLDVEIN/SAGEWAVE i użyj opublikowanych IOC/YARA.
  4. Przegląd logów HTTP i aplikacyjnych: szukaj nietypowych żądań do /OA_HTML/UiServlet, /OA_HTML/SyncServlet, /OA_HTML/OA.jsp?...TemplatePreviewPG... oraz anomalii w Concurrent Processing.
  5. IR i komunikacja: przygotuj „holding statement” i plan powiadomień (prawny/PR). Nie negocjuj pochopnie — weryfikuj próbki danych przesłane przez agresora. (Potwierdzone przypadki nierzadko zawierały elementy podkoloryzowania wartości danych).
  6. Twarde MFA i higiena kont: wymuś zmianę haseł, rotację kluczy, ogranicz dostępność kont serwisowych; monitoruj nietypowe logowania do kont uprzywilejowanych. (CISA ostrzegała wcześniej o ryzyku kradzieży poświadczeń w ekosystemie Oracle).
  7. Backupy i plan ciągłości: zapewnij odseparowane kopie krytycznych danych ERP; przetestuj odtwarzanie.

Różnice / porównania z innymi przypadkami

Model operacyjny przypomina fale Cl0p z lat 2020–2024 (Accellion FTA, MOVEit, Cleo, Fortra MFT): masowe wykorzystanie podatności 0-day/n-day w powszechnie używanym oprogramowaniu, krótko po czym następuje seria e-maili szantażowych i publikacje na DLS. Różnica: tym razem celem jest system ERP (Oracle EBS) — konsekwencje dla biznesu są bardziej „horyzontalne” (finanse/HR/łańcuch dostaw), podczas gdy w MFT chodziło głównie o repozytoria plików.

Podsumowanie / kluczowe wnioski

  • Schneider Electric i Emerson zostały publicznie wskazane przez napastników jako ofiary kampanii na EBS; przy ich nazwach opublikowano znaczne wolumeny danych. Organizacje nie skomentowały jeszcze sprawy mediom.
  • CVE-2025-61882/61884 stanowią realny wektor — z aktualnie dostępnymi łatami Oracle oraz potwierdzeniem aktywnej eksploatacji przez CISA. Patch now i wykonaj threat hunting.
  • Skalę zdarzenia potwierdzają liczne wpisy na DLS i raporty mediów branżowych; lista ofiar rośnie.

Źródła / bibliografia

  • SecurityWeek: Industrial Giants Schneider Electric and Emerson Named as Victims of Oracle Hack (28 października 2025). (SecurityWeek)
  • Google Threat Intelligence & Mandiant: Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign (9 października 2025, aktual. 11 października 2025). (Google Cloud)
  • Reuters: Oracle says hackers are trying to extort its customers (3 października 2025). (Reuters)
  • SecurityWeek: CISA Confirms Exploitation of Latest Oracle EBS Vulnerability (21 października 2025). (SecurityWeek)
  • Dark Reading: Oracle EBS Attack Victims May Be More Numerous Than Expected (28 października 2025). (Dark Reading)

CISA ostrzega przed dwiema kolejnymi aktywnie wykorzystywanymi lukami w Dassault DELMIA Apriso (CVE-2025-6204, CVE-2025-6205)

Wprowadzenie do problemu / definicja luki

CISA dodała do katalogu KEV (Known Exploited Vulnerabilities) dwie luki w rozwiązaniu DELMIA Apriso firmy Dassault Systèmes, używanym do zarządzania i realizacji operacji produkcyjnych (MOM/MES). Chodzi o:

  • CVE-2025-6205Missing authorization (brak autoryzacji), umożliwiająca zdalne uzyskanie uprzywilejowanego dostępu przez nieautoryzowanego atakującego; ocena przez producenta CVSS 9.1 (Critical).
  • CVE-2025-6204Code injection (wstrzyknięcie kodu), pozwalająca uprawnionemu użytkownikowi o wysokich uprawnieniach wykonać dowolny kod; ocena CVSS 8.0 (High).

CISA informuje, że obie podatności są aktywnie wykorzystywane; agencje FCEB mają czas na wdrożenie środków do 18 listopada 2025 r.

W skrócie

  • Produkt: Dassault DELMIA Apriso (Release 2020–2025).
  • Luki: CVE-2025-6205 (brak autoryzacji), CVE-2025-6204 (wstrzyknięcie kodu).
  • Status: aktywne exploity, pozycje w CISA KEV. Termin dla FCEB: 18.11.2025.
  • Łatki: producent opublikował informacje i ścieżki remediacji w sierpniu 2025 r.
  • Sektory ryzyka: automotive, elektronika, lotnictwo, maszyny przemysłowe.

Kontekst / historia / powiązania

To kolejny raz, gdy DELMIA Apriso trafia do KEV w 2025 r. We wrześniu CISA dodała również CVE-2025-5086 (zdalne wykonanie kodu), po odnotowaniu pierwszych prób eksploatacji przez SANS ISC. Obecne wpisy (6204, 6205) potwierdzają utrzymujące się zainteresowanie atakujących tym ekosystemem.

Analiza techniczna / szczegóły luki

CVE-2025-6205 (Missing authorization)

  • Wektor: sieciowy (AV:N), niski poziom złożoności (AC:L), bez uwierzytelnienia (PR:N), brak interakcji użytkownika (UI:N), wpływ na poufność i integralność (C:H/I:H) – ocena CVSS 9.1 (CNA: Dassault).
  • Skutek: atakujący może zdalnie uzyskać uprzywilejowany dostęp do aplikacji.
  • CWE: CWE-862 (Missing Authorization).

CVE-2025-6204 (Code injection)

  • Wektor: sieciowy (AV:N), wysoka złożoność (AC:H), wymagane wysokie uprawnienia (PR:H); mimo to wpływ na C/I/A oceniony jako wysoki – CVSS 8.0 (CNA).
  • Skutek: wykonanie dowolnego kodu w systemie.
  • CWE: CWE-94 (Improper Control of Generation of Code).

Zakres wersji: Release 2020–2025. Dassault potwierdza dostępność remediacji i dokumentacji wsparcia (portal support.3ds.com).

Praktyczne konsekwencje / ryzyko

  • Ataki bez uwierzytelnienia (CVE-2025-6205): szczególnie niebezpieczne w środowiskach, gdzie interfejsy Apriso są dostępne z sieci korporacyjnej lub – co gorsza – z Internetu (np. błędna segmentacja). Umożliwia eskalację uprawnień i przejęcie orkiestracji procesów produkcyjnych.
  • Wstrzyknięcie kodu (CVE-2025-6204): choć wymaga wysokich uprawnień, zagrożenie jest realne w scenariuszach nadużycia kont serwisowych lub ruchu bocznego po wstępnym włamaniu.
  • Wpływ na OT/MES: zakłócenia produkcji, manipulacja danymi jakości, błędne zlecenia i traceability, ryzyko przestojów i strat finansowych w branżach o wysokich wymaganiach zgodności (automotive/lotnictwo).

Rekomendacje operacyjne / co zrobić teraz

  1. Natychmiastowe łatanie: zastosuj aktualizacje/remediacje dostarczone przez Dassault dla dotkniętych wydań (R2020–R2025).
  2. Weryfikacja ekspozycji:
    • Zidentyfikuj instancje Apriso oraz interfejsy web/API.
    • Upewnij się, że brak dostępu z Internetu; wymuś dostęp przez VPN i listy kontroli.
  3. Twarde ograniczenie uprawnień (szczególnie kont o wysokich rolach) oraz MFA dla interfejsów administracyjnych.
  4. Segmentacja IT/OT i kontrola ruchu (WAF/IPS) – reguły na wstrzyknięcie kodu oraz próby nadużyć autoryzacji.
  5. Hunting i detekcja:
    • Szukaj nietypowych logowań do Apriso, zmian konfiguracji, nagłych skoków uprawnień.
    • Koreluj z IOC/telemetrią z wrześniowych prób eksploatacji DELMIA Apriso (CVE-2025-5086) jako sygnałem zainteresowania środowiskiem.
  6. Zgodność z CISA KEV: jeśli podlegasz BOD 22-01, deadline 18.11.2025 na wdrożenie mitigacji; pozostałe organizacje powinny traktować priorytetowo.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • CVE-2025-5086 (RCE) z września 2025 r. był wcześniej obserwowany w atakach; obecne luki uzupełniają powierzchnię ataku:
    • 6205bezautoryzacyjna eskalacja dostępu (krytyczna).
    • 6204remote code execution z poziomu uprzywilejowanego użytkownika (wysoka).
      Zestawienie sugeruje, że środowiska Apriso mogą być celem wielowektorowych kampanii, łączących początkowe wejście z dalszą eskalacją i wykonaniem kodu.

Podsumowanie / kluczowe wnioski

  • Dwie nowe luki w DELMIA Aprisoaktywnie eksploatowane i mają wysokie/ krytyczne znaczenie.
  • Łatki/remediacje dostępne od sierpnia 2025 r. – należy je wdrożyć niezwłocznie i ograniczyć ekspozycję interfejsów.
  • Organizacje przemysłowe (automotive, lotnictwo, elektronika, maszyny) powinny potraktować temat jako priorytet w obszarze MES/MOM i OT.

Źródła / bibliografia

  • BleepingComputer: “CISA warns of two more actively exploited Dassault vulnerabilities”, 28.10.2025. (BleepingComputer)
  • NVD (NIST): CVE-2025-6205 – opis, CVSS, wpis KEV/due date. (NVD)
  • NVD (NIST): CVE-2025-6204 – opis, CVSS, klasyfikacja CWE-94. (NVD)
  • Dassault Systèmes Trust Center: CVE-2025-6205 – advisory/remediacja. (Dassault Systèmes)
  • Dassault Systèmes Trust Center: CVE-2025-6204 – advisory/remediacja. (Dassault Systèmes)
  • SANS ISC: Exploit Attempts for Dassault DELMIA Apriso (CVE-2025-5086) – kontekst wcześniejszych ataków. (SANS Internet Storm Center)

Cyberprzestępcy handlują 183 mln skradzionych poświadczeń na Telegramie i podziemnych forach — co naprawdę się stało (i co z tym zrobić)

Wprowadzenie do problemu / definicja luki

Na przełomie października 2025 r. firma Synthient przekazała do Have I Been Pwned (HIBP) ogromny zbiór danych z ekosystemu infostealerów i podziemnych kanałów wymiany (m.in. Telegram, fora, social media). Po normalizacji i deduplikacji w HIBP pozostało 183 mln unikatowych adresów e-mail z odpowiadającymi im hasłami oraz domenami serwisów, w których były użyte. Co istotne, 16,4 mln adresów nie pojawiało się wcześniej w publicznych naruszeniach monitorowanych przez HIBP.

W skrócie

  • Skąd dane? Głównie logi infostealerów oraz listy do credential stuffing zbierane z Telegrama i forów.
  • Skala: 3,5 TB surowych plików, 23 mld wierszy; po deduplikacji 183 mln unikatowych adresów.
  • Nowość danych: ok. 9% (16,4 mln) adresów wcześniej nie widziano w HIBP.
  • Nie był to „wyciek Gmaila”: Google zdementowało doniesienia o rzekomym włamaniu do Gmaila; to agregat danych z wielu źródeł, głównie z infekcji malware.

Kontekst / historia / powiązania

Publikacje branżowe i wpisy twórcy HIBP, Troya Hunta, podkreślają, że ekosystem wycieków na Telegramie jest mocno recyklingowany: te same logi i combolisty są wielokrotnie przepakowywane i udostępniane. Dlatego każdy taki zbiór wymaga oczyszczenia i weryfikacji. Właśnie ten proces przeprowadził HIBP przed dodaniem rekordu „Synthient Stealer Log Threat Data”. Równolegle w mediach przetoczyła się fala błędnych nagłówków o „wielkim włamaniu do Gmaila”, czemu Google publicznie zaprzeczyło.

Analiza techniczna / szczegóły luki

Źródła danych. Zgodnie z opisem Synthient, ich system przez wiele miesięcy monitorował ~20 kontami Telegrama kanały powiązane z handlem logami, wykrywał linki-zaproszenia, pobierał archiwa, parsował różne, niespójne formaty i deduplikował z użyciem hashy plików oraz struktur w ClickHouse. Główne role w ekosystemie: primary sellers (sprzedawcy pierwotni), aggregators (wtórni kolekcjonerzy) i traffers (dystrybutorzy malware).

Weryfikacja i statystyki.

  • HIBP raportuje rekord „Synthient Stealer Log Threat Data” z opisem pól: adres e-mail, witryna (np. gmail.com, facebook.com) i użyte hasło. Po odrzuceniu duplikatów: 183 mln unikatowych adresów.
  • Hunt opisuje, że próbka pokazała ~91–92% adresów już znanych HIBP (recykling), a ~8–9% było nowych; po pełnym załadowaniu to 16,4 mln wcześniej nieobecnych w HIBP. Dodatkowo część zbioru stanowią listy do credential stuffing, nie tylko czyste logi infostealerów.

„To nie wyciek Gmaila”.
Google wyjaśniło, że mówimy o zebranej mieszance z wielu incydentów i infekcji, nie o świeżym ataku na jedną platformę. To nie podważa ryzyka dla użytkowników, ale zmienia interpretację: nie ma jednego „źródła włamania”, lecz wieloletni dryft poświadczeń po kanałach przestępczych.

Praktyczne konsekwencje / ryzyko

  • Przejęcia kont (ATO) przez credential stuffing i logowanie z przejętych sesji.
  • Spear-phishing i oszustwa oparte na znajomości serwisów, w których ofiara ma konta (domena z logu).
  • Lateral movement do środowisk firmowych, jeśli e-mail prywatny i służbowy współdzielą hasła.
  • Ujawnienie wzorców haseł, ułatwiające łamanie kolejnych skrótów.
  • Ryzyko reputacyjne i prawne (RODO) w razie wtórnego naruszenia w organizacji.

Warto założyć, że część haseł wciąż działa, zwłaszcza tam, gdzie MFA nie jest egzekwowane i użytkownicy recyklingują hasła.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i pracowników:

  1. Sprawdź adresy e-mail w HIBP (adres + „pwned sites” / „pastes”). W razie trafienia — natychmiastowa zmiana haseł i włączenie MFA (lub passkeys jako preferowany mechanizm).
  2. Unikalne hasło per serwis + menedżer haseł.
  3. Higiena urządzeń: aktualizacje, EDR/anty-malware, ostrożność wobec załączników i cracków — to infostealery są pierwotnym źródłem wycieku.

Dla zespołów bezpieczeństwa:

  1. Masowy reset haseł i/lub wymuszenie rotacji tam, gdzie brak MFA lub wykryto recykling.
  2. Egzekwuj MFA / passkeys dla poczty, VPN, SaaS i krytycznych aplikacji. Google i branża wskazują to jako najlepszą obronę przed kradzieżą poświadczeń.
  3. Blokada recyklingu haseł (zasady złożoności + sprawdzanie przeciw słownikom wycieków przy zmianie hasła).
  4. Detekcja ATO: reguły SIEM/UEBA na nietypowe logowania (nowe ASN, niestandardowe UA, nietypowa pora/geo), korelacja z listami adresów z HIBP.
  5. Unieważnij sesje po zmianie haseł; włącz powiadomienia o nowych logowaniach.
  6. Hunting na infostealery: IOC/IOA popularnych rodzin (Raccoon, RedLine, Vidar, Lumma itd.), kontrola egzekucji przeglądarek i kradzieży browser creds.
  7. Hardening przeglądarek (wyłączenie zapamiętywania haseł, izolacja profili), konteneryzacja przeglądania dla ról wysokiego ryzyka.
  8. Zarządzanie tożsamością: wdrożenie risk-based auth, FIDO2, ograniczenie dostępu uprzywilejowanego, just-in-time.

Różnice / porównania z innymi przypadkami

  • Combolisty vs. logi infostealerów: combolisty są zlepkiem starych wycieków (często bez kontekstu), podczas gdy logi infostealerów zawierają pary e-mail-hasło + domena, co podnosi skuteczność ATO. Zbiór Synthient zawiera obie kategorie, stąd duża objętość i konieczność deduplikacji.
  • „Jedno wielkie naruszenie” vs. „agregat wielu źródeł”: tutaj mamy agregat; brak pojedynczego punktu kompromitacji (np. „Gmail breach”).

Podsumowanie / kluczowe wnioski

  • Zbiór 183 mln unikatowych adresów z hasłami to realne ryzyko ATO na masową skalę, nawet jeśli większość wpisów to dane recyklingowane. 16,4 mln „nowych” adresów czyni ten przypadek wyjątkowo istotnym operacyjnie.
  • To nie jest wyciek jednego dostawcy poczty. To skutek lat infekcji infostealerami i wtórnego obiegu danych na Telegramie. Źródłem problemu są zainfekowane urządzenia i recykling haseł.
  • Priorytetem powinno być pełne egzekwowanie MFA/passkeys, polityka unikalnych haseł, monitoring ATO i hunting na infostealery w środowisku.

Źródła / bibliografia

  1. SecurityWeek — „Cybercriminals Trade 183 Million Stolen Credentials on Telegram, Dark Forums” (28 paź 2025). (SecurityWeek)
  2. Troy Hunt — „Inside the Synthient Threat Data” (22 paź 2025). (Troy Hunt)
  3. Have I Been Pwned — wpis „Synthient Stealer Log Threat Data”. (Have I Been Pwned)
  4. Synthient — „The Stealer Log Ecosystem: Processing Millions of Credentials a Day” (21 paź 2025). (Synthient)
  5. BleepingComputer — „Google disputes false claims of massive Gmail data breach” (27–28 paź 2025). (BleepingComputer)

CISA publikuje trzy nowe alerty dla systemów ICS (28 października 2025)

Wprowadzenie do problemu / definicja luki

Amerykańska CISA poinformowała o trzech doradcach bezpieczeństwa dla środowisk ICS/OT opublikowanych 28 października 2025 r.. Pakiet obejmuje jeden nowy doradca ICS dotyczący rozwiązań Schneider Electric EcoStruxure, jeden doradca ICS Medical dla Vertikal Systems (zaplecze systemu Hospital Manager) oraz aktualizację wcześniejszego doradcy dot. sterowników Schneider Electric Modicon. Doradcy CISA są krótkimi, technicznymi streszczeniami podatności i zaleceń łagodzących dla operatorów infrastruktury krytycznej.

W skrócie

  • Nowy doradca ICS: ICSA-25-301-01 — Schneider Electric EcoStruxure (szczegóły techniczne i środki zaradcze).
  • Doradca ICS Medical: ICSMA-25-301-01 — Vertikal Systems Hospital Manager Backend Services (podatności informacyjne w zapleczu systemu szpitalnego).
  • Aktualizacja wcześniejszego doradcy ICS: ICSA-24-352-04 — Schneider Electric Modicon (Update B) — przypomnienie o ryzykach i aktualnych zaleceniach dla linii Modicon.

Kontekst / historia / powiązania

Październik 2025 r. przyniósł wzmożoną liczbę publikacji CISA dla ICS — agencja już 21 i 23 października wydała odpowiednio 10 i 8 doradców. Trend ten odzwierciedla rosnącą powierzchnię ataku w OT oraz dużą aktywność producentów i badaczy zgłaszających luki.

Analiza techniczna / szczegóły luki

1) ICSA-25-301-01 — Schneider Electric EcoStruxure
Tytuł doradcy wskazuje na komponent(y) z rodziny EcoStruxure. Doradca zawiera standardowo: listę wspieranych wersji, oceny CVSS, wektor ataku (zwykle zdalny, niska złożoność), skutki (np. RCE/eskalacja uprawnień/DoS) oraz działania naprawcze producenta (aktualizacje, re-konfiguracje). Oficjalna karta doradcy (ICSA-25-301-01) jest potwierdzona przez CISA.

2) ICSMA-25-301-01 — Vertikal Systems Hospital Manager Backend Services (ICS Medical)
Doradca medyczny wskazuje na podatności ujawnienia informacji w zapleczu aplikacji (m.in. wycieki danych sesji, nagłówków autoryzacyjnych, stosów błędów, ścieżek wewnętrznych). Japońskie JVN (Japan Vulnerability Notes) publikuje zbieżny opis ryzyka dla tego produktu (CWE-497, CWE-209), co wzmacnia wagę ostrzeżenia CISA. Wersje sprzed 19 września 2025 r. są podatne.

3) ICSA-24-352-04 — Schneider Electric Modicon (Update B)
To aktualizacja doradcy z 2024 r., odświeżona w 2025 r. (ostatnia rewizja 18 marca 2025). Dotyczy sterowników Modicon (np. serie M241/M251/M258/LMC058), gdzie wcześniej raportowano m.in. błędy walidacji danych mogące prowadzić do RCE lub zakłóceń procesu. CISA utrzymuje stronę doradcy i aktualizuje zalecenia.

Uwaga: CISA ma obecnie ograniczony dostęp publiczny (część stron może zwracać błąd 403), jednak metadane doradców — numery, daty i tytuły — są widoczne w indeksie i wpisach przeglądowych.

Praktyczne konsekwencje / ryzyko

  • Ryzyko dla ciągłości procesu: luki w EcoStruxure/Modicon mogą dotyczyć sterowania liniami produkcyjnymi, energetyką czy gospodarką wodno-ściekową — skutkiem może być nieautoryzowana zmiana parametrów procesu, przestój lub manipulacja odczytami.
  • Ryzyko dla danych medycznych: ujawnienia informacji w Vertikal Systems mogą ułatwić pivoting w sieci szpitalnej i naruszenia poufności danych pacjentów, nawet jeśli luka nie jest od razu RCE.

Rekomendacje operacyjne / co zrobić teraz

Natychmiast (0–24 h):

  1. Identyfikacja ekspozycji: skoreluj inwentarz OT/ICS z numerami doradców (ICSA-25-301-01, ICSMA-25-301-01, ICSA-24-352-04). Ustal, czy komponenty EcoStruxure/Modicon oraz Vertikal Systems są obecne w Twojej sieci.
  2. Segmentacja i minimalizacja dostępu: wymuś separację stref (ISA/IEC 62443), zablokuj nieużywane porty/protokoły, ogranicz management interfaces wyłącznie do sieci uprzywilejowanych/VPN. (CISA konsekwentnie rekomenduje segmentację i kontrolę dostępu w doradcach ICS).
  3. Twarde reguły w zaporach: domyślnie blokuj Modbus/TCP 502 oraz inne protokoły ICS na granicach stref; tylko allow-list. (Zalecenie spójne z praktykami CISA/producentów).

Krótki termin (1–2 tygodnie):
4. Patching / aktualizacje producenta: zastosuj łatki i hot-fixy publikowane przez Schneider Electric (EcoStruxure/Modicon) oraz poprawki/konfiguracje od Vertikal Systems; w razie braku łatek — zastosuj obejścia z doradców (defense-in-depth).
5. Hardening aplikacji webowych w sieci medycznej: wyłącz ujawnianie stack trace’ów i wersji frameworków (ASP.NET customErrors), wdroż WAF z regułami dla wycieków nagłówków/autoryzacji.
6. Monitoring & detekcja: wzbogacisz reguły IDS/IPS o sygnatury dla protokołów ICS oraz reguły anomalii (np. nieoczekiwane funkcje Modbus). Odnieś się do ATT&CK for ICS przy budowie scenariuszy detekcji.

Średni termin (≤ 30 dni):
7. Testy regresyjne na kopiach / OT lab: zanim wdrożysz łatki do produkcji, przetestuj wpływ na proces. (Najlepsza praktyka potwierdzana w materiałach producentów i społeczności ICS).
8. Przegląd architektury stref i kanałów zdalnych: ogranicz zdalne dostępy serwisowe dostawców (jump hosty, PAM, JIT).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • ICS vs ICS Medical: doradca ICSMA (Vertikal Systems) dotyczy systemu klasy HIS/HMS. Tu skutki dominują w obszarze ujawnienia informacji i przyspieszenia rekonesansu, a nie bezpośredniego RCE — w przeciwieństwie do wielu doradców ICS (EcoStruxure/Modicon), gdzie częściej spotyka się RCE/eskalację i zakłócenia procesu.
  • Nowy doradca vs aktualizacja: ICSA-25-301-01 to nowa publikacja; ICSA-24-352-04 (Update B) rewiduje istniejące zalecenia, co bywa równie istotne dla długowiecznych instalacji OT, które nie mogły wdrożyć poprawek w 2024 r.

Podsumowanie / kluczowe wnioski

  • 28.10.2025 CISA wydała trzy istotne doradcy obejmujące EcoStruxure, Vertikal Systems (ICSMA) oraz Modicon (aktualizacja).
  • Operatorzy OT/ICS i placówki medyczne powinni natychmiast sprawdzić ekspozycję, wdrożyć segmentację i update’y oraz poprawić konfiguracje ujawniające informacje.
  • Nawet „tylko informacyjne” wycieki (jak w Vertikal Systems) realnie obniżają koszt ataku i mogą prowadzić do eskalacji w sieci OT/IT.

Źródła / bibliografia

  1. CISA — Alert: „CISA Releases Three Industrial Control Systems Advisories”, 28 października 2025. (potwierdza zestaw trzech doradców i datę) (CISA)
  2. CISA — ICS Advisory: ICSA-25-301-01 „Schneider Electric EcoStruxure”. (strona doradcy) (CISA)
  3. CISA — ICS Medical Advisory: ICSMA-25-301-01 „Vertikal Systems Hospital Manager Backend Services”. (strona doradcy) (CISA)
  4. JVN (Japan Vulnerability Notes): opis podatności Vertikal Systems (CWE-497, CWE-209, wersje sprzed 2025-09-19). (potwierdzenie technicznych szczegółów ICSMA) (jvn.jp)
  5. CISA — ICS Advisory (aktualizacja): ICSA-24-352-04 „Schneider Electric Modicon (Update B)”, ostatnia rewizja 18.03.2025. (tło i bieżące zalecenia) (CISA)
  6. WaterISAC — przegląd publikacji CISA (TLP:CLEAR) — trend październikowych doradców ICS. (kontekst operacyjny) (WaterISAC)

    Płatności okupu za ransomware spadły w III kw. 2025 roku. Skąd ten dołek — i co to znaczy dla firm?

    Wprowadzenie do problemu / definicja zjawiska

    W III kwartale 2025 r. branża odnotowała rekordowo niski odsetek płatności okupu — zaledwie 23% incydentów zakończyło się zapłatą. To wniosek z najnowszej analizy firmy reagowania na incydenty Coveware, która jednocześnie raportuje gwałtowny spadek średniej płatności do ~376,9 tys. USD (–66% kw./kw.) oraz medianę 140 tys. USD (–65% kw./kw.). Coveware wiąże to z coraz częstszą odmową płatności przez duże przedsiębiorstwa oraz mniejszymi żądaniami wobec firm ze średniego segmentu. Informacje podsumował również SecurityWeek.

    W skrócie

    • 23% – historycznie najniższy wskaźnik płatności (Q3 2025).
    • 376 941 USD / 140 000 USD – średnia / mediana zapłaconego okupu (–66% / –65% vs Q2).
    • Najaktywniejsze grupy: Akira, Qilin (oraz silna aktywność INC Ransom, Play, SafePay wg ZeroFox).
    • Sektory najczęściej na celowniku: usługi profesjonalne, wciąż wysoko produkcja i budownictwo.
    • Ekosystem wycieków: liczba aktywnych „data leak sites” osiągnęła 81 w Q3 (rekord wg ReliaQuest).
    • Wolumen incydentów: ZeroFox naliczył 1 429 przypadków R&DE w Q3 (≈+5% kw./kw., –27% vs rekordowego Q1).

    Kontekst / historia / powiązania

    Spadek płatności to kontynuacja trendu, który przyspieszył po licznych akcjach organów ścigania i upadkach znanych marek RaaS w latach 2024–2025. Według Coveware ekonomia cyberwymuszeń uległa erozji: koszty operacyjne rosną, a „double extortion” (same wycieki danych) coraz rzadziej skłaniają duże firmy do zapłaty. Równolegle rynek fragmentuje się — aktywność mniejszych kolektywów oraz rekordowa liczba witryn wyciekowych podtrzymują presję ataków, choć nie zawsze przekładają się na przychody grup.

    Analiza techniczna / szczegóły

    Wektory wejścia. Coveware wskazuje na kompromitację zdalnego dostępu (VPN, bramki chmurowe, RDP), socjotechnikę (w tym nadużycia helpdesku) oraz wykorzystanie luk jako trzy filary inicjalnego dostępu. Rosnąca „zbieżność” technik to m.in. uzyskiwanie dostępu poprzez wymuszone procesy wsparcia i OAuth. W TTPs przeważa eksfiltracja danych (filary TA0010/TA0008/TA0011).

    Nowe taktyki — łapówki dla insiderów. Opisany przez Coveware przypadek próby przekupstwa pracownika przez gang Medusa pokazuje, że grupy sięgają po insider threats jako środek do wdrożenia szyfratora u celów o wyższej dojrzałości.

    Aktywność grup i branż. ZeroFox ocenił, że w Q3 Qilin i Akira należały do najaktywniejszych, a usługi profesjonalne wyraźnie zyskały na zainteresowaniu napastników (do tej pory dominowały produkcja/budownictwo/ochrona zdrowia).

    Praktyczne konsekwencje / ryzyko

    • Negocjacje: Linie obrony „nie płacimy” są dziś skuteczniejsze — płacenie za „zduszenie” wycieku bywa bezwartościowe, a „nuisance payments” podtrzymują rynek wymuszeń.
    • Ryzyko operacyjne: Nasilenie ataków wolumenowych na mid-market oznacza krótszy czas do awarii usług i presję na zespoły IT/OT. Źle skonfigurowane dostępny zdalne, OAuth i „dług konfiguracyjny” to najsłabsze ogniwa.
    • Ryzyko reputacyjne/regulacyjne: Sektory usług profesjonalnych i produkcji narażają klientów/łańcuch dostaw; wycieki danych mogą inicjować dochodzenia regulatorów.

    Rekomendacje operacyjne / co zrobić teraz

    1. Uderz w wektory wejścia
      • Egzekwuj MFA wszędzie, szczególnie dla VPN, bram SaaS i uprzywilejowanych kont; wymuś FIDO2 jako standard.
      • Zamknij „dług konfiguracyjny”: rotacja starych kont/kluczy, blokada nieużywanych integracji OAuth, rejestrowanie i alertowanie nietypowych logowań międzytenantowych.
    2. Wykrywanie i segmentacja
      • EDR/XDR + analityka lateral movement (RDP/SSH/PSExec) z regułami anomalii.
      • Segmentacja sieci / mikrosegmentacja (zwł. IT/OT wg modelu Purdue w środowiskach krytycznych).
    3. Twarde procesy helpdesku
      • Twarde procedury weryfikacji przy resetach hasła/MFA; testy socjotechniczne typu red-team.
    4. Backup & odzyskiwanie
      • 3-2-1, izolacja kopii (immutable), regularne testy RTO/RPO i recovery „bez klucza napastnika”.
    5. Plan na wyciek (bez płatności)
      • Z góry opracuj playbook eksfiltracji: kontakt z prawnikami ds. prywatności, ocena materiału, komunikacja kryzysowa, działania wobec klientów/partnerów — bez „nuisance payments”.
    6. Program insiderski
      • Kanały zgłoszeń, szkolenia anty-korupcyjne, monitoring ryzyk personalnych; detekcja anomalii dostępu.
    7. Higiena podatności
      • Patchowanie systemów brzegowych i urządzeń sieciowych; priorytetyzacja luk historycznie wykorzystywanych przez RaaS.

    Różnice / porównania z innymi przypadkami

    • Q3 vs Q2 2025: średnia i mediana płatności spadły o ~2/3 kwartał do kwartału, co wskazuje na zmianę „unit economics” po stronie gangów i większą determinację dużych ofiar, by nie płacić.
    • „Big-game hunting” vs „mid-market at scale”: Chociaż wielkie ofiary coraz częściej odmawiają, kampanie wysokowolumenowe (np. Akira, Qilin) trzymają tempo, celując w firmy, które łatwiej zakłócić, ale które zapłacą mniejsze kwoty.
    • Ekosystem wycieków: Rekord 81 aktywnych DLS w Q3 nie przełożył się na wzrost płatności — presja reputacyjna działa, lecz coraz rzadziej konwertuje na przelewy.

    Podsumowanie / kluczowe wnioski

    Ransomware nie zwalnia, ale płacić się „nie opłaca”. Q3 2025 to przełom: mniej płatności, mniejsze wypłaty i rosnące koszty po stronie napastników. Organizacje, które inwestują w przygotowanie do wycieku i mają twarde procesy tożsamości/remote access, skuteczniej negocjują i częściej wychodzą bez zapłaty. Dalsze utrzymanie presji — technicznej, prawnej i operacyjnej — może dalej dławić ekonomię wymuszeń.

    Źródła / bibliografia

    • Coveware — „Insider Threats Loom while Ransom Payment Rates Plummet” (24 października 2025) — raport Q3 2025. (coveware.com)
    • SecurityWeek — „Ransomware Payments Dropped in Q3 2025: Analysis” (27 października 2025). (SecurityWeek)
    • ReliaQuest — „Ransomware and Cyber Extortion in Q3 2025” (8 października 2025). (ReliaQuest)
    • ZeroFox — „Q3 2025 Ransomware Wrap-Up” (3 października 2025). (ZeroFox)

    CISA nakazuje załatać krytyczną lukę w WSUS na Windows Server (CVE-2025-59287). Trwa aktywne wykorzystywanie

    Wprowadzenie do problemu / definicja luki

    Amerykańska agencja CISA dodała do katalogu Known Exploited Vulnerabilities krytyczną lukę CVE-2025-59287 w Windows Server Update Services (WSUS) i nakazała federalnym instytucjom załatanie systemów. Podatność umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia na serwerze WSUS, z uprawnieniami SYSTEM. Microsoft wydał aktualizacje out-of-band dla wszystkich wspieranych wersji Windows Server. Luka jest aktywnie wykorzystywana w atakach, także po publikacji PoC.

    W skrócie

    • Identyfikator: CVE-2025-59287 (CVSS: krytyczny; RCE bez interakcji użytkownika).
    • Dotyczy: wyłącznie serwerów z włączoną rolą WSUS (domyślnie wyłączona).
    • Wejście/rozprzestrzenianie: podatność potencjalnie „wormowalna” między serwerami WSUS.
    • Status: aktywne skanowanie i realne kompromitacje; dostępne PoC.
    • Działania Microsoft: łatki OOB + zalecane obejścia (tymczasowe wyłączenie WSUS / blokada 8530/8531).
    • Działania CISA: wpis w KEV i nakaz szybkiego patchowania.

    Kontekst / historia / powiązania

    23–24 października 2025 r. Microsoft opublikował aktualizacje poza standardowym cyklem, po tym jak badacze udostępnili proof-of-concept oraz zaczęły pojawiać się doniesienia o atakach na wystawione publicznie instancje WSUS (standardowe porty 8530/TCP (HTTP) i 8531/TCP (HTTPS)). CISA dorzuciła podatność do KEV, co w praktyce oznacza potwierdzoną eksploatację w środowiskach produkcyjnych.

    Analiza techniczna / szczegóły luki

    Badacze wskazują, że podatność wynika z niebezpiecznej deserializacji w przestarzałym mechanizmie (BinaryFormatter) w ścieżce przetwarzania ciasteczka autoryzacyjnego. Atakujący może wysłać specjalnie spreparowane dane do endpointu związanym z obsługą cookies (np. GetCookie()), co prowadzi do wykonania arbitralnego kodu jako SYSTEM. To umożliwia przejęcie serwera WSUS bez wcześniejszych uprawnień.

    Dodatkowo zespoły reagowania (m.in. Huntress) raportują realne próby i udane włamania na hosty WSUS po publikacji łatki, co jest typowym wzorcem „patch-and-exploit”.

    Praktyczne konsekwencje / ryzyko

    • Łańcuch aktualizacji jako wektor rozprzestrzeniania: kompromitacja WSUS może umożliwić podszycie się pod zaufane aktualizacje, ich podpisywanie i dystrybucję złośliwych pakietów do całej floty Windows. W środowiskach z ConfigMgr/SCCM ryzyko jest szczególnie wysokie.
    • Ruch sieciowy i ekspozycja usług: liczne instancje WSUS są zidentyfikowane w Internecie na portach 8530/8531; skanowanie tych portów to popularna technika rozpoznawcza.
    • Uprawnienia SYSTEM = pełne przejęcie: po RCE napastnik może zrzucać poświadczenia, modyfikować zasady aprobaty aktualizacji, pivotować w AD oraz trwale utrzymywać się w infrastrukturze.

    Rekomendacje operacyjne / co zrobić teraz

    1. Natychmiast zainstaluj aktualizacje OOB odpowiednie dla Twojej wersji Windows Server (po instalacji wymagany restart). Przykładowo dla Windows Server 2022: KB5070884. Zastosuj OOB także zamiast zaległej łatki październikowej — Microsoft wskazuje, że OOB ją zastępuje.
    2. Jeśli patch nie jest możliwy „od ręki”: tymczasowo wyłącz rolę WSUS lub zablokuj ruch na 8530/8531/TCP (co zatrzyma dystrybucję aktualizacji, ale usunie wektor ataku). Zaplanuj jak najszybszy powrót do normalnego trybu po patchu.
    3. Inwentaryzacja i ekspozycja: zinwentaryzuj wszystkie serwery WSUS (także downstream) i sprawdź, czy nie są wystawione do Internetu na 8530/8531. W miarę możliwości ogranicz dostęp tylko z sieci zaufanych/VPN. (Porty domyślne potwierdza dokumentacja Microsoft).
    4. Hunting po kompromitacji (jeśli WSUS był wystawiony lub niezałatany):
      • Przejrzyj logi IIS/WSUS pod kątem nietypowych żądań do endpointów autoryzacyjnych.
      • Zweryfikuj łańcuch zaufania i certyfikaty używane do podpisywania lokalnie publikowanych aktualizacji; rozważ ich rotację.
      • Sprawdź listy zatwierdzonych aktualizacji pod kątem nieznanych/niestandardowych pakietów.
      • Przeprowadź skan integralności i EDR sweep serwera oraz wybranych stacji. (Wskazówki operacyjne wynikają z obserwacji zespołów reagowania.)
    5. Hardening na przyszłość: minimalizuj powierzchnię ataku WSUS (brak ekspozycji publicznej, segmentacja, WAF/reverse-proxy), monitoruj anomalie aprobat aktualizacji i integruj WSUS-related telemetry do SIEM/SOAR.

    Różnice / porównania z innymi przypadkami

    W odróżnieniu od wielu błędów w usługach Windows, CVE-2025-59287 dotyka komponentu zarządzania aktualizacjami. To zwiększa ryzyko supply-chain wewnątrz organizacji: przejęty WSUS może stać się „zaufanym” dystrybutorem złośliwych paczek — podobnie do scenariuszy ataków na narzędzia MDM/aktualizacyjne, ale z niższą barierą wejścia (RCE bez uwierzytelnienia). Doniesienia branżowe wskazują też, że pierwotne poprawki z Patch Tuesday były niewystarczające, dlatego Microsoft wydał aktualizacje OOB.

    Podsumowanie / kluczowe wnioski

    • Patch teraz: CVE-2025-59287 jest aktywnie wykorzystywana, a WSUS to „koronny węzeł” dystrybucji aktualizacji w AD.
    • Zamknij 8530/8531 i/lub wyłącz WSUS, jeśli nie możesz od razu zaktualizować — świadomie akceptując przerwę w dostarczaniu łatek.
    • Sprawdź integralność łańcucha aktualizacji (certyfikaty, aprobaty, anomalie publikacji).
    • Ogranicz ekspozycję WSUS do sieci zaufanych i włącz telemetry/hunting.

    Źródła / bibliografia

    1. BleepingComputer — nakaz CISA dla agencji federalnych i status eksploatacji. (BleepingComputer)
    2. Microsoft — strona KB (przykładowo WS2022 KB5070884) z informacjami o OOB, restarcie i zmianach funkcjonalnych. (Microsoft Support)
    3. Huntress — obserwacje ataków na WSUS po wydaniu łatek (analiza incydentów). (Huntress)
    4. HawkTrace — szczegóły techniczne PoC (deserializacja, AuthorizationCookie, BinaryFormatter / EncryptionHelper.DecryptData()). (HawkTrace)
    5. NVD (NIST) — potwierdzenie wpisu w CISA KEV dla CVE-2025-59287. (NVD)

    Qilin (Agenda) – jak działa jedna z najaktywniejszych operacji ransomware w 2025 r. według Cisco Talos

    Wprowadzenie do problemu / definicja luki

    Cisco Talos opisał szereg incydentów z 2025 r., które ujawniają aktualny łańcuch ataku Qilin (dawniej Agenda) – jednego z najbardziej „produktywnych” gangów ransomware. Zespół IR Talosa obserwuje ponad 40 publikacji ofiar miesięcznie na stronie wycieków Qilin, ze szczytami aktywności sięgającymi ~100 przypadków (czerwiec i sierpień 2025). Najmocniej cierpi produkcja, a dalej usługi profesjonalne i handel hurtowy.

    W skrócie

    • Model RaaS: Qilin działa jako usługa, rozwijając platformę i udostępniając ją afilantom; podwójny szantaż (szyfrowanie + wyciek).
    • Początkowy dostęp: w badanych sprawach częste są nadużycia ważnych kont/VPN bez MFA, czasem zmiany GPO w AD w celu włączenia RDP; obserwowano także spear-phishing i wykorzystanie wycieków haseł.
    • Eksfiltracja: paczkowanie WinRAR, przesył przez legalne narzędzia (np. Cyberduck do Backblaze), „ręczne” przeglądanie danych nawet notatnikiem/mspaint.
    • Ruch boczny i utrzymanie: PsExec, modyfikacje zapory i RDP, instalacje wielu RMM (AnyDesk, ScreenConnect, Chrome Remote Desktop itd.).
    • Szyfrowanie: wariant Qilin.B (Rust) używa AES-256-CTR lub ChaCha20 + RSA-4096 (OAEP), terminacja usług backup/DB/AV, czyszczenie logów i niszczenie VSS.
    • Skala zagrożenia: w II kw. 2025 Qilin był najaktywniejszym ransomware wobec podmiotów SLTT w USA (MS-ISAC).

    Kontekst / historia / powiązania

    Qilin (wcześniej Agenda) działa od lipca 2022 r., oferując RaaS i prowadząc wycieki danych na własnym portalu. Z czasem ewoluował technicznie (m.in. przepisany na Rust; utrzymano też wersje Linux/ESXi) i organizacyjnie (aktywny rekrut na forach). W 2024 r. HHS/HC3 publikował profil zagrożenia wskazujący na spear-phishing i warianty Windows/Linux; w 2024/2025 Halcyon śledził wariant Qilin.B z usprawnioną kryptografią i ewakuacją kluczowych artefaktów.

    W 2025 r. incydenty przypisywane Qilin odnotowano w różnych sektorach i krajach; przykładem jest głośny atak na japoński Asahi Group (zakłócenia produkcji i publikacja danych).

    Analiza techniczna / szczegóły luki

    Wejście / inicjalny dostęp

    • Nadużycie ważnych kont i brak MFA na VPN; wzmożone próby NTLM po pojawieniu się haseł w darknecie; możliwe zmiany GPO w celu ułatwienia RDP.
    • (Historycznie) spear-phishing, w tym złośliwe załączniki i kradzież poświadczeń.

    Rozpoznanie i zbieranie

    • nltest, net user, whoami /priv, tasklist; narzędzia skanowania sieci; dedykowany pakiet do zrzutu haseł (NirSoft, Mimikatz). Modyfikacja WDigest (UseLogonCredential=1) ułatwiająca pozyskanie plaintextów. Dane agregowane skryptami i eksportowane (SMTP, pliki wynikowe z kodowaniem Windows-1251).

    Eksfiltracja

    • Archiwizacja WinRAR, inspekcja dokumentów nawet przez notepad.exe/mspaint.exe/iexplore.exe; nadużycie Cyberduck do chmury (Backblaze) z podziałem na części.

    Eskalacja uprawnień i ruch boczny

    • Dodawanie napastniczych kont do Local Administrators, wymuszanie RDP, tworzenie udziałów typu net share c=c:\ /grant: everyone,full; rozproszenie przez PsExec. Obserwacje wielu RMM (AnyDesk, ScreenConnect, Distant Desktop, QuickAssist, Chrome Remote Desktop).

    Unikanie obrony

    • Silnie zaciemniony PowerShell z wyłączeniem AMSI, obejściem walidacji TLS oraz włączeniem Restricted Admin dla RDP (hash-based auth).

    Przygotowanie środowiska i trwałość

    • Wyłączanie/ubijanie procesów AV/backup/DB, czyszczenie logów, tworzenie Scheduled Task („TVInstallRestore”) i wpisów Run podszywających się pod TeamViewer.

    Szyfrowanie (Qilin.B)

    • Kombinacja AES-256-CTR (jeśli dostępne AES-NI) / ChaCha20 (fallback) + RSA-4096/OAEP do ochrony kluczy; noty okupu README-RECOVER-[company_id].txt; rozszerzenia plików wg unikalnego ID ofiary. Wykrywana enumeracja udziałów i dysków, ukierunkowanie na ClusterStorage/CSV (Hyper-V/VM/VHDX) przy jednoczesnym unikaniu pętli po symlinkach. Usuwanie VSS i autodestrukcja binarium.

    IOCs i detekcje

    • Talos publikuje wykazy IOC (GitHub), Snort SID oraz ClamAV (np. Win.Ransomware.Qilin, SystemBC, Cobalt Strike).

    Praktyczne konsekwencje / ryzyko

    • Czas przestoju: ataki celują w środowiska wirtualizacji i plików współdzielonych (CSV/Hyper-V), co zwiększa wpływ na produkcję i usługi krytyczne.
    • Ryzyko reputacyjne i prawne przez systematyczną ekfiltrację (Backblaze/Cyberduck) oraz publikację na stronie wycieków.
    • Trend rynkowy: Qilin był w Q2 2025 najaktywniejszą rodziną wobec SLTT w USA, co potwierdza jego dojrzałość operacyjną i tempo działania.
    • Incydenty głośne medialnie (np. Asahi) pokazują realny wpływ na produkcję i łańcuch dostaw.

    Rekomendacje operacyjne / co zrobić teraz

    Kontrole prewencyjne

    1. MFA bez wyjątków na VPN, RDP, poczcie i aplikacjach krytycznych; wymuś klient-based MFA dla kont uprzywilejowanych.
    2. Higiena tożsamości: rotacja haseł po wyciekach, blokady na „password spraying” (T1110.003), monitorowanie NTLM.
    3. Twardnienie RDP: wyłącz zdalne logowanie tam, gdzie zbędne; kontrola fDenyTSConnections, ograniczenia sieciowe/Jump Host; Restricted Admin tylko jeśli świadomie zarządzany.
    4. Egress/Exfil kontrola: DLP/CTI-driven blokady dla Backblaze i nietypowych klientów S3/WebDAV; monitoruj użycie Cyberduck, WinRAR w trybie archiwizacji masowej.
    5. Backup i odzyskiwanie: izolowane kopie, testy odtwarzania, ochrona VSS przed usuwaniem; segmentacja Hyper-V/CSV.

    Detekcja i reagowanie (SOC/SIEM/EDR)

    • Reguły: Snort/ClamAV zgodnie z publikacją Talos; korelacje dla PsExec, net share c=, WDigest UseLogonCredential=1, zaciemnionego PowerShell wyłączającego AMSI, nietypowego schtasks /Create /SC ONLOGON.
    • Artefakty RMM: wykrywaj instalacje/połączenia AnyDesk/ScreenConnect/Chrome Remote Desktop/QuickAssist poza listą zatwierdzonych rozwiązań.
    • Kryptonotatki/rozszerzenia: alarmy na README-RECOVER-[company_id].txt oraz nowe rozszerzenia „.[company_id]”.

    Procedury IR

    • Izolacja i triage hostów z aktywnością WinRAR/Cyberduck, ścieżkami Backblaze, masową terminacją usług bezpieczeństwa/backup.
    • Łańcuch dowodowy: zabezpieczenie logów przed czyszczeniem (wczesna centralizacja, forward-only, write-once).
    • Komunikacja kryzysowa i ocena ryzyka wycieku (PII, IP, dane produkcyjne).

    Różnice / porównania z innymi przypadkami (jeśli dotyczy)

    • Qilin vs. „typowy” RaaS 2025: podobnie jak inne operacje, Qilin intensywnie eksfiltruje i używa RMM/LOLBINs; odróżnia go ukierunkowanie na CSV/Hyper-V i szerokie wykorzystanie legalnych narzędzi do eksfiltracji (Cyberduck).
    • Qilin.B (Rust) wyróżnia kombinowany wybór szyfru (AES-NI → AES-CTR, fallback → ChaCha20) i mocną ochronę kluczy RSA-4096/OAEP, co komplikuje odzysk bez kluczy.
    • Wieloplatformowość: raporty z 2025 r. pokazują nawet wdrażanie binarek Linux na systemach Windows przez RMM/BYOVD, co utrudnia detekcję.

    Podsumowanie / kluczowe wnioski

    Qilin utrzymuje wysokie tempo kampanii i dojrzały łańcuch ataku: kradzież poświadczeń (WDigest/Mimikatz/NirSoft), ruch boczny (PsExec/RDP/RMM), eksfiltracja przez chmurę (Cyberduck→Backblaze), a następnie szyfrowanie zoptymalizowane dla środowisk wirtualnych (CSV/Hyper-V) i agresywna ewakuacja artefaktów. Obrona wymaga dyscypliny IAM/MFA, twardnienia RDP/VPN, kontroli egress/exfil, oraz predefiniowanych detekcji TTP. Publikacje Cisco Talos i analizy branżowe (HHS/HC3, Halcyon, CIS, Trend Micro) dostarczają praktycznych wskaźników i reguł do natychmiastowego wdrożenia.

    Źródła / bibliografia

    1. Cisco Talos – Uncovering Qilin attack methods exposed through multiple cases, 26 października 2025 (TTP, IOCs, Snort/ClamAV). (Cisco Talos Blog)
    2. Halcyon – New Qilin.B Ransomware Variant…, 24 października 2024 (kryptografia, mechanika szyfrowania). (Halcyon)
    3. HHS/HC3 – Qilin (aka Agenda) Threat Profile, 18 czerwca 2024 (wektory wejścia, Windows/Linux). (hhs.gov)
    4. CIS (MS-ISAC) – Qilin: Top Ransomware Threat to SLTTs in Q2 2025, 11 września 2025 (trend aktywności). (CIS)
    5. Trend Micro – Agenda Ransomware Deploys Linux Variant on Windows Systems…, 23 października 2025 (nietypowe wdrożenia Linux przez RMM/BYOVD). (www.trendmicro.com)