Bitdefender Threat Debrief Czerwiec 2025

W tym miesiącu w cyklu Threat Debrief omówimy kilka zmian w ekosystemie ransomware, w tym niedawny wzrost liczby ofiar przypisywanych grupie SafePay, strategiczny wyciek danych Conti i TrickBot, a także najnowsze exploity wykorzystywane przez Qilin i inne grupy.

Ransomware to niezwykle dynamiczne cyberzagrożenie, a naszym celem w tym miesięcznym raporcie Bitdefender Threat Debrief jest pomoc w zrozumieniu tego niebezpieczeństwa. Aby to zrobić, Bitdefender łączy informacje z ogólnodostępnych źródeł (OSINT) — takich jak doniesienia prasowe i badania — z danymi, które zbieramy, analizując witryny wycieków danych (DL S), witryny, na których grupy ransomware publikują informacje o swoich ofiarach. Ważne jest, aby pamiętać, że Bitdefender nie może niezależnie zweryfikować wszystkich tych twierdzeń, ale przedstawia pewne trendy, które widzimy w ostatnim miesiącu.

Jakie systemy i branże zostały dotknięte przez SafePay?

SafePay to grupa ransomware, która została odkryta jesienią 2024 r. Grupa twierdzi, że nie oferuje Ransomware-as-a-Service (RaaS). Choć jej model działania wydaje się nieskomplikowany chociaż brakuje bloga lub otwartego forum, ich strona wycieku danych zawiera listę ofiar i skradzionych danych.

Binaria SafePay mają kilka iteracji, aby atakować nie tylko punkty końcowe, ale także hiperwizory. Po uruchomieniu systemy są szyfrowane, a rozszerzenie .safepay jest dołączane do dotkniętych plików i katalogów. Najważniejsze Branże najczęściej reprezentowane wśród ich ofiar to obecnie produkcja, opieka zdrowotna, edukacja i badania, doradztwo i administracja publiczna.

Ile ofiar zgłosili cyberprzestępcy?

Do tej pory SafePay zgłosiło ponad 200 ofiar. Tylko w maju zgłosiło 70 ofiar, co stanowi ponad dwukrotność poprzedniego rekordu dla ich największej liczby ofiar zgłoszonych miesięcznie. Ich druga największa liczba ofiar zgłoszonych miesięcznie, 33, została zgłoszona w marcu tego roku.

Jaki jest udział LockBit?

SafePay użyła ransomware., który zawiera elementy kodu znalezione w LockBit 3.0. Wyłączając użycie tego kodu w czasie po wycieku LockBit builder, nie ma innych znanych powiązań między LockBit i SafePay. SafePay zawiera mechanizm awaryjnego wyłączenia przy wykryciu układu klawiatury w języku cyrylicy, co oznacza, że jeśli zidentyfikuje, że ustawiono klawiaturę z językiem cyrylickim, nie uruchomi ransomware. To prowadzi wielu do identyfikacji SafePay jako potencjalnego aktora zagrożeń powiązanego z Rosją lub jej sojuszników.

Jakie taktyki zastosował SafePay?

SafePay wykorzystał skrypty PowerShell do zadań rozpoznawczych i post-eksploatacyjnych. Wykorzystali również taktykę Living Off the Land, aby zablokować metody odzyskiwania systemu i wyłączyć program Windows Defender. Wskaźniki eksfiltracji danych są powiązane z wielokrotnie obserwowanymi działaniami obejmującymi WinRAR i korzystanie z narzędzi wiersza poleceń lub w niektórych przypadkach FTP.

Świadomość i obrona przed ransomware

Grupy ransomware mogą doświadczać wzlotów i upadków w swoich operacjach w czasie. Może to być spowodowane kilkoma czynnikami, w tym wskaźnikiem powodzenia ataków oportunistycznych lub modelowaniem ataków na podstawie taktyk stosowanych przez poprzednich aktorów zagrożeń. Ważne jest, aby być na bieżąco z istotnymi zagrożeniami i środkami, które można podjąć, aby zabezpieczyć aktywa organizacji i zmniejszyć prawdopodobieństwo udanego ataku ransomware.

Aby uzyskać kompleksową analizę aktualnych ataków ransomware, obejmującą sposób ich przeprowadzania i metody obrony przed nimi, zapoznaj się z naszym dokumentem na temat oprogramowania ransomware.

Ważne wiadomości o oprogramowaniu ransomware

Przyjrzyjmy się teraz innym ważnym nowinom i odkryciom od czasu naszego ostatniego Threat Debrief.

Ujawniono operacje Conti i TrickBot: Przeciekacz znany jako GangsExposed opublikował pliki i nazwiska powiązane z kampaniami Conti i Trick Bot na kanale Telegram. Wyciek obejmuje korespondencję między kierownictwem Conti, zdjęcia i inne dane sięgające 2020 r. Jeden domniemany lider tych operacji ransomware, Stern lub Vitaly Nikolaevich Kovalev, został zidentyfikowany przez niemieckie władze i może mieszkać w Rosji.

Krytyczne luki Fortinet są wykorzystywane w atakach Qilin: Qilin zajął drugie miejsce w rankingu 10 najlepszych grup ransomware tego miesiąca. Ta Grupa hakerska wykorzystała luki CVE-2024-21762 i CVE-2024-55591 w ostatnich kampaniach. Te luki stanowią poważne zagrożenie dla środowisk, w których występują dotknięte nimi systemy Fortinet/FortiGate, podobnie jak większość luk typu zero-day. Zaleca się, aby organizacje przejrzały swoje najnowsze poprawki, aby upewnić się, że ich systemy są aktualne.

Kolejny rozdział Operation Endgame zakłóca operacje cyberprzestępczości: Wspólny wysiłek Europolu i innych organów ścigania we Francji, Niemczech, Kanadzie i Wielkiej Brytanii doprowadził do zajęcia nielegalnych domen i prawie 4 milionów USD w kryptowalucie. Kanały dystrybucji kilku odmian ransomware, w tym Oakbot, Dan Bot i TrickBot, zostały wyeliminowane. Domena AVCheck również została zajęta, uniemożliwiając cyberprzestępcom dostęp do usługi testowania ich zaszyfrowanych próbek złośliwego oprogramowania w usługach antywirusowych.

Grupa ransomware Datacarry pojawia się z rosnącą liczbą ofiar: Datacarry to grupa ransomware, która pojawiła się kilka tygodni temu. Datacarry pochłonęła ponad 10 ofiar w momencie publikacji tego Threat Debrief, powołując się na organizacje ofiar z siedzibą w Stanach Zjednoczonych, Belgii, Wielkiej Brytanii i Szwajcarii. Ich strona wycieku danych jest również wyjątkowa; chociaż nie jest tak interaktywna jak inne, ma interfejs przypominający pulpit, który pozwala odwiedzającym nawigować do folderów zawierających wyciekłe dane.

IMN Crew dodaje 8 ofiar do swojego DLS: IMN Crew to nowa grupa ransomware, która w maju pochłonęła 8 ofiar. Od ponad miesiąca mają stronę z wyciekami danych i publikują dane skradzione z organizacji ofiar z siedzibą w Stanach Zjednoczonych, Wielkiej Brytanii, Indonezji i Szwecji.

FBI i CISA publikują wspólne ostrzeżenie z aktualizacjami na temat Play: Publikacja podkreśla pewne zmiany od czasu ostatniego ostrzeżenia, w tym wzorce w korespondencji Play z ofiarami za pośrednictwem poczty e-mail i telefonu. Grupa kontynuuje ataki na infrastrukturę krytyczną, a także wykorzystuje luki w zabezpieczeniach narzędzia SimpleHelp RMM do wykonywania zdalnego kodu.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy publikują deklarowaną liczbę naruszonych organizacji. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko deklarowaną liczbę ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach o dużych lub rozwijających się gospodarkach. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

10 najczęściej atakowanych branż

Gangi ransomware mogą atakować organizacje w ekosystemie infrastruktury krytycznej, wybierać inne organizacje oferujące usługi dostosowane do rynku konsumenckiego lub atakować obie te grupy. Oto 10 najważniejszych branż, które stały się celem grup ransomware.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania BDTD, śledź nasz blog i obserwuj nas na LinkedIn.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pewne pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i weryfikują 30 miliardów zapytań o zagrożenia dziennie. Zapewnia nam to jeden z najbardziej kompleksowych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.

Jeśli chcesz poznać więcej informacji na temat antywirusów Bitdefender, to sprawdź ten link.