Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Konflikty pomiędzy grupami ransomware należą do rzadszych zjawisk niż ataki wymierzone w przedsiębiorstwa, jednak dla zespołów bezpieczeństwa mogą mieć wyjątkową wartość analityczną. W opisywanym przypadku operatorzy 0APT i KryBit zaczęli publicznie ujawniać wzajemnie elementy swojej infrastruktury, danych operacyjnych oraz zaplecza technicznego, co pozwoliło lepiej zrozumieć, jak funkcjonują współczesne modele Ransomware-as-a-Service.
Incydent jest istotny nie tylko z perspektywy wywiadu o zagrożeniach, ale także oceny wiarygodności samych grup. Upublicznione materiały pokazały, że część deklaracji o skali działalności może być wyolbrzymiona lub całkowicie sfabrykowana.
W skrócie
- 0APT i KryBit weszły w otwarty konflikt i zaczęły publikować wzajemnie dane dotyczące infrastruktury oraz operacji.
- Wyciek ujawnił, że KryBit rozwijał realny model afiliacyjny RaaS i posiadał rzeczywiste ofiary.
- Logi oraz dane operacyjne wskazały, że wcześniejsze twierdzenia 0APT o ponad 190 ofiarach były nieprawdziwe.
- Ujawnione informacje objęły także dane powiązane z grupą Everest, choć bez jednoznacznego potwierdzenia pełnej kompromitacji jej krytycznych zasobów.
- Dla obrońców incydent stanowi cenne źródło wiedzy o panelach administracyjnych, negocjacjach okupowych, modelu współpracy z afiliantami i sposobach publikacji danych.
Kontekst / historia
0APT pojawił się na początku 2026 roku i szybko próbował budować rozpoznawalność poprzez publikowanie obszernej listy rzekomych ofiar. Od początku budziło to wątpliwości, ponieważ brakowało spójnych dowodów potwierdzających skuteczne naruszenia oraz eksfiltrację danych. Mimo tego grupa była oceniana jako technicznie zdolna do prowadzenia operacji ransomware, przynajmniej w ograniczonym zakresie.
KryBit pojawił się później, pod koniec marca 2026 roku, jako nowy operator RaaS oferujący narzędzia dla środowisk Windows, Linux, ESXi oraz urządzeń NAS. Model działania wskazywał na próbę zbudowania bardziej uporządkowanego ekosystemu afiliacyjnego, z podziałem zysków premiującym partnerów odpowiedzialnych za uzyskanie dostępu i przeprowadzenie ataku.
W połowie kwietnia 2026 roku 0APT zmienił sposób komunikacji i zaczął przedstawiać inne grupy ransomware jako własne ofiary. Wśród wskazywanych nazw pojawiły się KryBit, Everest i RansomHouse. Ten ruch doprowadził do eskalacji i przerodził się w bezpośredni konflikt między operatorami.
Analiza techniczna
Najważniejszym elementem całego incydentu było ujawnienie danych administracyjnych i operacyjnych związanych z KryBit. Z dostępnych materiałów wynikało, że grupa posiadała dwóch administratorów, pięciu afiliantów oraz około 20 potencjalnych ofiar. Dane dotyczące negocjacji wskazywały na żądania okupu od 40 tys. do 100 tys. dolarów oraz na eksfiltrację danych o rozmiarze od 10 do 250 GB na ofiarę.
Jednocześnie nie odnotowano potwierdzonych płatności, co może sugerować, że projekt znajdował się na wczesnym etapie rozwoju albo skuteczność wymuszeń była ograniczona. Nie zmienia to faktu, że sam model operacyjny wyglądał na realny i aktywny, a nie wyłącznie marketingowy.
0APT opublikował również bazę SQL powiązaną z Everest. Z opisu wynikało, że istotne rekordy były kodowane i haszowane, a najbardziej wrażliwe pola nie występowały w formie jawnej. Taki wyciek miał więc znaczenie przede wszystkim wizerunkowe i wywiadowcze, ale nie musiał oznaczać pełnego ujawnienia krytycznych informacji.
W odpowiedzi KryBit przejął dostęp do infrastruktury 0APT, opublikował konkurencyjną grupę jako własną ofiarę oraz zniekształcił jej stronę wyciekową. Następnie ujawniono logi dostępowe, kod źródłowy PHP oraz pliki systemowe. To właśnie analiza logów potwierdziła, że wcześniejsze deklaracje 0APT o ponad 190 ofiarach nie miały pokrycia w rzeczywistej działalności operacyjnej.
Szczególnie interesujący był opis zaplecza technicznego 0APT. Infrastruktura serwisu wyciekowego miała działać na środowisku AnLinux-Parrot OS i wykorzystywać jako nośnik publikowanych danych wewnętrzną kartę SD telefonu z Androidem. Taki improwizowany model może wskazywać na niski poziom dojrzałości, ograniczone zasoby albo próbę prowadzenia działalności przy minimalnych kosztach.
Konsekwencje / ryzyko
Spór między 0APT i KryBit pokazuje, że deklarowana liczba ofiar nie zawsze jest wiarygodnym wskaźnikiem faktycznych możliwości grupy ransomware. Część operatorów może sztucznie budować reputację, aby przyciągnąć afiliantów, zwiększyć rozpoznawalność w podziemiu lub wywołać efekt psychologiczny wobec potencjalnych ofiar.
Dla obrońców szczególnie cenne są wycieki ujawniające taktyki, techniki i procedury, które zwykle pozostają ukryte. Nawet jeśli konkretna infrastruktura zostanie porzucona, operatorzy i afilianci często przenoszą swoje nawyki operacyjne do kolejnych projektów lub nowych marek. Oznacza to, że raz ujawnione wzorce zachowań mogą pozostać użyteczne w detekcji także po rebrandingu.
KryBit mimo własnej kompromitacji nadal należy traktować jako realne zagrożenie. Ujawnione dane wskazują, że grupa posiadała działający panel administracyjny, afiliantów i procesy negocjacyjne. Z kolei 0APT wydaje się podmiotem mniej dojrzałym, ale nadal zdolnym do działań destabilizujących, dezinformacyjnych i potencjalnie szkodliwych.
Dla organizacji ryzyko nie kończy się na etapie szyfrowania systemów. Coraz większe znaczenie ma wcześniejsza faza obecności intruza w środowisku, przygotowanie danych do wycieku oraz stosowanie modelu podwójnego wymuszenia. Raportowane wolumeny eksfiltrowanych danych pokazują, że monitoring ruchu wychodzącego i działań stagingowych pozostaje kluczowym elementem obrony.
Rekomendacje
Organizacje powinny ostrożnie podchodzić do wpisów publikowanych na stronach wyciekowych. Sama obecność nazwy firmy nie jest jeszcze dowodem skutecznego naruszenia, dlatego każda reakcja powinna opierać się na analizie własnej telemetrii, śladów dostępu i potencjalnych oznak eksfiltracji.
- Monitorować tworzenie dużych archiwów oraz nietypowy ruch wychodzący z sieci.
- Wykrywać użycie narzędzi do transferu danych i anomalii na udziałach sieciowych.
- Zwracać szczególną uwagę na środowiska Linux, hypervisory ESXi oraz systemy NAS.
- Regularnie testować kopie zapasowe pod kątem odtworzenia i odporności na usunięcie.
- Łączyć ochronę przed szyfrowaniem z detekcją eksfiltracji danych.
- Rozwijać threat hunting oraz mapowanie TTP, aby identyfikować operatorów po zachowaniach, a nie wyłącznie po nazwie grupy.
W praktyce najbardziej trwałym artefaktem po takich incydentach nie jest sama domena czy panel administracyjny, lecz sposób działania operatorów. To właśnie zachowania, sekwencje działań po uzyskaniu dostępu oraz wzorce negocjacyjne mogą pozostać niezmienne mimo zmiany marki lub infrastruktury.
Podsumowanie
Konflikt między 0APT i KryBit pokazał, że wewnętrzne wojny w ekosystemie ransomware mogą nieoczekiwanie zwiększać przejrzystość działań cyberprzestępców. Ujawnione dane potwierdziły, że 0APT próbował budować reputację na fałszywych deklaracjach ofiar, podczas gdy KryBit rozwijał rzeczywisty model RaaS z afiliantami i procesem negocjacyjnym.
Dla zespołów bezpieczeństwa to ważna lekcja: obserwacja sporów między grupami ransomware może dostarczać wartościowych wskaźników, pomagać w profilowaniu przeciwnika i wspierać budowę skuteczniejszych mechanizmów detekcji oraz reakcji.
Źródła
- Dark Reading — Feuding Ransomware Groups Leak Each Other’s Data — https://www.darkreading.com/threat-intelligence/feuding-ransomware-groups-leak-data
- Halcyon Ransomware Research Center — 0APT vs. KryBit Ransomware Actors List Opposing Operators as Victims — https://www.halcyon.ai/ransomware-research-reports/0apt-vs-krybit-ransomware-actors-list-opposing-operators-as-victims