Bitdefender Threat Debrief: Kwiecień 2025

W tym miesiącu w Threat Debrief Bitdefender przyjrzał się grupie ransomware Hunters International. Producent antywirusów przedstawił kontekst szczegółowo opisujący pochodzenie grupy i czynniki motywujące jej działania w świetle ostatnich wydarzeń. Ponadto firma przyjrzała się partnerstwu między grupą ransomware z pierwszej dziesiątki a drugorzędnym, wspierającym graczem w krajobrazie ransomware, a także przedstawiła nową odmianę LockBit.

Ransomware to zagrożenie, które stale zmienia taktykę, a ten miesięczny raport Bitdefender Threat Debrief pomoże Ci wyprzedzać trendy w cyberprzestępczym światku. Bitdefender łączy informacje o zagrożeniach i spostrzeżenia na temat zachowań przeciwników z danymi uzupełniającymi z ogólnodostępnych źródeł (OSINT) – z doniesień prasowych i innych źródeł badawczych – z danymi, które zbiera, analizując witryny wycieku danych (DLS), witryny, na których grupy ransomware publikują informacje o swoich ofiarach.

W raporcie z tego miesiąca Bitdefender przeanalizował dane za okres od 1 do 31 marca i odnotował łącznie 676 zgłoszeń dotyczących ofiar.

Wyróżniony artykuł: Rebranding Hunters International budzi podejrzenia

Hunters International to grupa RaaS (Ransomware as a Service), która powstała w październiku 2023 r. Początkowo była to grupa, która zajmowała się wyłącznie eksfiltracją danych. Później Hunters International dodało do swoich działań ransomware.

Ustalenia Bitdefender wskazują, że Hunters International nabyła narzędzia od grupy ransomware Hive, a działania powiązane z Hunters International rozpoczęły się prawie dziewięć miesięcy po tym, jak organy ścigania przejęły infrastrukturę Hive na początku 2023 r. Hive zaprzestało działalności, a Hunters International kupiło ich kod i pozostałą infrastrukturę. Hunters International zmodyfikowało kod źródłowy Hive, w szczególności ulepszając proces szyfrowania i upraszczając parametry i wykluczenia zdefiniowane w argumentach wiersza poleceń.

Niedawno firma badawcza odkryła podział w grupie i zmianę nazwy Hunters International. Operator ransomware ogłosił zamknięcie w listopadzie 2024 r. z powodu tego, co nazwał ryzykownymi i mało obiecującymi operacjami ransomware. Hunters International wielokrotnie odwoływał się do operacji organów ścigania mających na celu zakłócenie działań ransomware, w tym tych przeprowadzanych w Moskwie, które rzekomo miałyby zmniejszyć ich szanse przetrwania. A wkrótce potem pojawiła się grupa World Leaks. Najprawdopodobniej jest to zmiana nazwy Hunters International, a nie grupa działająca niezależnie od Hunters International lub bez ich wpływu.

Hunters International pozostaje aktywny w marcu 2025 r. Zespół Bitdefender podejrzewa, że będą oni priorytetowo traktować eksfiltrację danych nad stosowaniem szyfrowania. W ciągu ostatniego roku zgłosili aż 41 organizacji ofiar, osiągając szczyt w kwietniu 2024 r. W miesiącach następujących po listopadzie 2024 r. (tzw. koniec działalności grupy ) Hunters International nadal zgłaszał tak małą liczbę ofiar. Zgłosili 9 ofiar w miesiącach grudniu, styczniu i lutym. A w marcu tego roku Hunters International zgłosił 6 ofiar.

Opóźnienia w aktywności ransomware mogą być przypisane do planowania wśród operatorów, ponownego zaopatrywania lub kwestii takich jak opracowywanie dowodów koncepcji. Rebranding jest inną możliwością, ponieważ grupy zazwyczaj próbują osiągnąć następujące cele:

• Reorganizacja po utracie personelu, konfliktach wewnętrznych lub zbliżających się dochodzeniach.
• Odbudowa reputacji w celu zwiększenia atrakcyjności grupy ransomware wśród nowych grup i potencjalnych podmiotów stowarzyszonych.
• Zmiana MO i przejście do nowego celu lub grupy demograficznej ofiary.
• Wdrażanie nowych możliwości, np. wdrażanie ransomware z nowej rodziny.
• Zyskanie czasu na skorygowanie słabości operacyjnych i/lub taktycznych.

Aby uzyskać pełne zrozumienie aktualnych zasad ataków ransomware, w tym sposobu ich przeprowadzania i sposobów obrony przed nimi, prosimy o przeczytanie dokumentu dotyczącego oprogramowania ransomware od zespołu Bitdefender.

Ważne wiadomości o oprogramowaniu ransomware

Przyjrzyjmy się teraz innym ważnym wiadomościom i odkryciom na temat ransomware od czasu naszego ostatniego Threat Debrief.

Babuk2 znalazł się na szczycie rankingu w marcu. Babuk2, znany również pod pseudonimem Bjorka, przyznał się do zaatakowania łącznie 83 ofiar. Cyberprzestępca jest znany z wycieku danych ofiar, zamiast wdrażania oprogramowania ransomware. Babuk2 ma również historię angażowania się w rewiktymizację, przypisując sobie zasługi ofiar zgłoszonych przez inne grupy zajmujące się oprogramowaniem ransomware, takie jak RansomHub, LockBit3 i FunkSec. Babuk2 początkowo wyraził zainteresowanie nawiązaniem relacji partnerskiej z FunkSec. W styczniu 2025 r. użytkownik FunkSec Forum o nazwie B jorka udostępnił zdjęcie tatuażu FunkSec w nadziei na otrzymanie 1000 USD od administratora FunkSec.

Mora_001 atakuje wariantem LockBit. Mora_001 to aktor zagrożenia, który wykorzystał SuperBlack w kampaniach, aby wykorzystać luki w zabezpieczeniach Fortinet. Wariant LockBit zawiera kod podobny do LockBit 3.0; jednak notatka o ransomwarze SuperBlack i plik wykonywalny używany do eksfiltracji danych są unikalne. Mora_001 wykorzystał uwierzytelnianie CVE-2024-55591 i CVE-2025-24472. Wykorzystanie CVE-2024-55591 przez Mora_001 w kampaniach datuje się na koniec stycznia. Luka dotyczy wersji FortiOS od 7.0.0 do 7.0.16. Dotyczy również wersji FortiProxy od 7.0.0 do 7.0.19 i od 7.2.0 do 7.2.12. Cyberprzestępca wykorzystuje tę lukę, wysyłając spreparowane odpowiedzi do Node.js, co pozwala mu uzyskać podwyższone uprawnienia i wykonywać nieautoryzowane polecenia. Aktorzy zagrożeń wykorzystują również lukę CVE-2025-24472, aby uzyskać podwyższone uprawnienia, wysyłając żądania proxy CSF. Luka dotyczy FortiOS 7.0.0 do 7.0.16. Dotyczy również FortiProxy 7.2.0 do 7.2.12 i 7.0.0 do 7.0.19. Organizacje korzystające z produktów, których dotyczą te luki, powinny zapoznać się z powiadomieniami dostawców i dokonać aktualizacji do poprawionych wersji oprogramowania.

Deweloper LockBit Rostislav Panev zostaje ekstradowany do USA. Panev jest siódmym członkiem LockBit, który został aresztowany. Ma wiele zarzutów związanych z jego rolą w organizowaniu i nadzorowaniu operacji LockBit RaaS od 2019 do początku 2024 roku. Trwają dochodzenia, a program nagród Transnational Organized Crime (TOC) Departamentu Stanu USA oferuje nagrodę pieniężną w wysokości do 10 milionów dolarów za informacje, które doprowadzą do aresztowania lub skazania członków LockBit.

RansomHub przenosi swoją infrastrukturę do DragonForce. RansomHub to grupa, która zdominowała Top 10 Groups, przyznając się do ponad 850 ofiar w ciągu ostatniego roku. Niedawno ogłosiła współpracę z DragonForce. Nie wiadomo, kiedy infrastruktura RansomHub powróci na ich własną stronę. Chociaż ta współpraca może wydawać się niezwykła, jest potencjalnym wskaźnikiem nadchodzących zmian w TTP i celach OPSEC RansomHub. DragonForce przyznało się do 121 ofiar w ciągu ostatnich 12 miesięcy.

RansomHub używa niestandardowego narzędzia o nazwie Betrugger; jest to backdoor wyposażony w funkcjonalności, które obejmują nie tylko rejestrowanie naciśnięć klawiszy i skanowanie sieci, ale także możliwości eskalacji uprawnień i eksfiltracji. RansomHub jest znany z używania EDRKillShifter do wyłączania obrony; zabójca EDR był współdzielony między partnerami i zidentyfikowany w atakach przeprowadzanych przez Play, BianLian i Medusa.

Oprogramowanie ransomware Everest jest wyłączone. Everest to grupa ransomware, która pojawiła się w 2020 roku. Od tego czasu Everest zgromadził ponad 200 ofiar w sektorze opieki zdrowotnej, finansów i produkcji. Grupa jest znana z wycieku danych klientów, zapisów firmowych, informacji bankowych i danych osobowych. Witryna wycieku danych Everest została okraszona wiadomością: Nie popełniaj przestępstw PRZESTĘPSTWO JEST ZŁE xoxo z Pragi. Badacze uważają, że wada wpływająca na WordPress, usługę używaną do hostowania witryny wycieku danych Everest, umożliwiła atakującemu dostęp do infrastruktury. W momencie wydania tej wersji witryna onion pozostaje offline.

Kilka nowych grup ransomware wchodzi do ekosystemu. Nowicjusze w ekosystemie ransomware, odkryci w ostatnich kampaniach, to VanHelsing, Arkana, Secp0, CrazyHunter, Weyhro, NightSpire i Frag. Grupy Frag i NightSpire poniosły największą liczbę ataków wśród nowych grup w marcu. Frag miał 30 ofiar, a NightSpire miał 14 ofiar.

10 najpopularniejszych rodzajów ransomware w marcu 2025

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy publikują deklarowaną liczbę naruszonych organizacji. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko deklarowaną liczbę ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 krajów, które były najczęstszym celem ataków ransomware w marcu 2025 r.

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania BDTD, odwiedzaj nasz blog i obserwuj nasze konto na LinkedIn.

O firmie Bitdefender

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i codziennie weryfikują 30 miliardów zapytań o zagrożenia. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.

Jeśli chcesz poznać więcej możliwości, które zapewni Ci oprogramowanie Bitdefender, to sprawdź tę stronę.