Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz
Bitdefender
  • 0
Strona główna / AktualnościInformacja PrasowaRansomware / Bitdefender Threat Debrief Luty 2025

Bitdefender Threat Debrief Luty 2025

Wróć do Aktualności

12 lutego 2025

Ransomware utrzymuje silną obecność w krajobrazie zagrożeń, a w 2025 r. możemy spodziewać się, że cyberprzestępcy będą nadal rozwijać swoje metody. W związku z tym ważne jest, aby organizacje były świadome bieżących zagrożeń, nowych trendów i potencjalnego wpływu, jaki te cyberincydenty mogą mieć na ich aktywa i systemy informatyczne. Pomaga to organizacji podejmować świadome decyzje, gdy identyfikują istotne ryzyka dla swojego środowiska i podejmują kroki w celu ich złagodzenia. Bitdefender przeanalizował dane z witryn internetowych grup ransomware od 1 do 31 stycznia, identyfikując łącznie 522 zgłoszone ofiary. Przyjrzyjmy się teraz najważniejszym nowinom i odkryciom od czasu ostatniego Threat Debrief.

Bitdefender Threat Debrief

Najnowsze wiadomości ze świata cyberprzestępczego

Akira zgłasza najwięcej ofiar w styczniu: Grupa ransomware zgłosiła ponad 300 ofiar w 2024 r. i ma potencjał, aby zgłosić tyle samo ofiar (jeśli nie więcej) do końca 2025 r. W miarę jak Akira zbliża się do 575 ofiar, stopniowo zbliża się do 665+ zgłoszonych ofiar RansomHub.

Clop pozostaje w pierwszej dziesiątce: Clop to grupa ransomware, która nadal wykorzystuje luki CVE-2024-50623 i CVE-2024-55956, które wpływają na produkty Harmony, LexiCom i VLTransfer. Organizacjom zaleca się zapoznanie się z zalecanymi działaniami dotyczącymi tych luk w celu upewnienia się, że używane przez nich oprogramowanie jest najnowszą poprawioną wersją. W momencie wydania tej wersji Clop zgłosił łącznie ponad 660 ofiar. Chociaż na początku ta progresja może pomóc w wykazaniu, że liczba ofiar Clop jest zbliżona i/lub prawdopodobnie przekroczy liczbę ofiar RansomHub, to założenie to jest wątpliwe i może zostać ponownie zbadane. Niektóre ofiary Clop faktycznie zgłosiły się, aby zaprzeczyć twierdzeniom o jakichkolwiek atakach.

Operacja Talent skutkuje przejęciem kluczowych internetowych targowisk: Międzynarodowe śledztwo w styczniu doprowadziło do zamknięcia Nulled and Cracked. Targowiska, które powstały w 2015 i 2016 roku, były wykorzystywane do wymiany nielegalnych towarów, takich jak skradzione dane, złośliwe oprogramowanie i inne materiały. Wspierane przez Europol, kilka podmiotów federalnych przyczyniło się do wysiłków dochodzeniowych, w tym Departament Sprawiedliwości USA, Federalne Biuro Śledcze, Generalny Inspektorat Policji Rumuńskiej i Federalny Urząd Policji Kryminalnej Niemiec. Operacja Talent zakończyła się przejęciem 17 serwerów i aktywów o łącznej wartości 300 000 EUR lub 312 480,00 USD, a także aresztowaniem dwóch podejrzanych.

GD LockerSec bierze odpowiedzialność za wiele naruszeń: Grupa ransomware GD LockerSec była kojarzona z incydentami wpływającymi na organizacje w sektorach rządowym, edukacyjnym i technologicznym. Informacje dotyczące możliwości GD LockerSec są ograniczone, a liczba zgłoszonych incydentów jest niewielka. Istnieją jednak zasady postępowania, które są określone w notatce grupy dotyczącej ransomware. GD LockerSec twierdzi, że zabrania ataków na następujące terytoria: Chiny, Wspólnota Niepodległych Państw, Kuba i Korea Północna. Grupa rzekomo powstrzymuje się od atakowania organizacji non-profit, takich jak szpitale. Z czasem, w miarę publikowania kolejnych aktualizacji dotyczących działań GD LockerSec, śledzenie ich roszczeń i ocena, w jaki sposób ich zasady odpowiadają trwałym wzorcom w wiktymologii lub TTP, może przynieść interesujące wyniki.

Taktyka AWS Living Off the Land oznacza kłopoty dla kontenerów Amazon S3: Codefinger jest powiązany z kampaniami, które wykorzystują dane uwierzytelniające konta ofiary Amazon Web Services i schemat szyfrowania po stronie serwera AWS w celu naruszenia kontenerów S3. Atakujący najpierw uzyskuje dostęp do konta ofiary i identyfikuje klucze dostarczone przez klienta, które mają włączone uprawnienia zapisu i odczytu dla kontenerów S3. Atakujący szyfruje kontenery; po rozpoczęciu szyfrowania klucz nie jest przechowywany w sposób umożliwiający ofierze jego wyodrębnienie i odszyfrowanie. Klucz jest modyfikowany i przedstawiany jako kod uwierzytelniania wiadomości oparty na haszowaniu. Następnie do wszystkich katalogów dodawana jest notatka o okupie, a interfejs API zarządzania cyklem życia obiektów S3 jest konfigurowany w celu usuwania kontenerów S3 w ciągu jednego tygodnia. Organizacjom zaleca się podjęcie niezbędnych kroków w celu zapobiegania tego typu atakom; można to osiągnąć, oceniając swoje zasady IAM i wyłączając ustawienia szyfrowania po stronie serwera (SSE-C) dla kontenerów S3.

GhostGPT daje atakującym kolejne narzędzie AI do zabawy: Generative AI tools, które mają na celu automatyzację komponentów faz uzbrojenia i eksploatacji cyberataku, są w użyciu od kilku lat. GhostGPT dołączył do szeregów narzędzi takich jak WormGPT i HackerGPT. Użytkownik może wprowadzać instrukcje do GhostGPT bez doświadczania konwencjonalnych ograniczeń monitowania, a tym samym generować odpowiedzi na szablony projektowe w celu wykonania Business Email Compromise (BEC) i innych oszustw. GhostGPT zapewnia funkcjonalności, które obsługują nie tylko tworzenie złośliwych skryptów i wiadomości e-mail z inżynierią społeczną, ale także dostęp do botów Telegram.

Luka w 7-Zip pozwala użytkownikom ominąć MOTW i otwierać pliki przechowywane w archiwach: Mark of the Web (MOTW) to atrybut w metadanych pliku, który wskazuje, czy plik pochodzi spoza środowiska użytkownika, czy z Internetu. Ta funkcja, natywna dla systemu Windows, jest oceniana w celu ustalenia, w jaki sposób plik powinien zostać wykonany. Gdy użytkownik otwiera plik, MOTW jest rozpoznawany, co pozwala na wyświetlenie wyskakującego okienka. Następnie użytkownik potwierdza, czy chce kontynuować otwieranie pliku; jeśli plik jest zgodny z pakietem Microsoft Office, jest renderowany w widoku chronionym. CVE-2025-0411 to luka w zabezpieczeniach, która umożliwia użytkownikowi otwarcie zawartości pliku archiwum bez sprawdzania, czy MOTW jest obecny. Atakujący może wysłać użytkownikowi złośliwy plik archiwum. Następnie użytkownik uzyskuje dostęp do tego archiwum za pomocą wersji 7-Zip, której dotyczy luka. Atrybut MOTW nie jest zachowywany w całej zawartości archiwum po jej wyodrębnieniu i uruchomieniu. Użytkownikom zaleca się aktualizację programu 7-Zip do najnowszej wersji 24.09 w celu wyeliminowania tej luki.

Odsłonięto panel partnerski Lynx: Lynx to grupa ransomware, która od lata 2024 r. stosuje podwójne wymuszenia. Panel partnerski grupy został niedawno odkryty przez zespół badaczy bezpieczeństwa, którzy ujawnili, że wysoki procent (80%) środków grupy jest przekazywany partnerom Lynx. Panel jest wyjątkowy, ponieważ zawiera funkcję wypełniania, która pozwala partnerom udostępniać unikalną metodę uwierzytelniania innych osób, z którymi mogą współpracować podczas uruchamiania ataków. Panel partnerski Lynx ma również szereg plików binarnych do wyboru w kampaniach ukierunkowanych na systemy operacyjne Windows i Linux. Iteracje Lynx na systemy Windows i Linux mają właściwości, które pasują do znacznej części kodu INC Ransom. Ponadto ransomware Lynx wykorzystuje szyfrowanie Curve25519 Donna i AES-128.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują deklarowaną liczbę naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę deklarowanych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

Najpopularniejsze rodzaje ransomware

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

Najczęściej atakowane kraje

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania BDTD,obserwuj nasz blog i konta na LinkedIn i Facebook.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i codziennie weryfikują 30 miliardów zapytań o zagrożenia. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń. Jeśli chcesz poznać więcej informacji na temat antywirusów Bitdefender, to sprawdź tę stronę.

Podobne artykuły:

Jeden z największych programów partnerskich na rynku cyber W Polsce

Ewolucja usług MSP: Dlaczego SOC i XDR stają się standardem w dobie NIS2 i jak na tym zyskać?

Poza horyzont zgodności: Jak duet PKF Polska i Bitdefender definiuje odporność biznesu w 2026 roku

Audyt i technologia: Jak PKF Polska i Bitdefender Polska budują cyfrową odporność biznesu

Dane kontaktowe:

Sklep internetowy

[email protected]

Pomoc techniczna

[email protected]

Marketing

[email protected]

Centrala

[email protected]

Formularz kontaktowy

Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

Klient
Indywidualny Napisz / Kliknij
Klient
Biznesowy Napisz / Kliknij
Reseller Napisz / Kliknij

    Dane kontaktowe

      Dane kontaktowe
      Do 10 osób
      Do 50 osób
      Więcej niż 50 osób
      Do 10 osóbDo 50 osóbWięcej niż 50 osób
      Do 20 urządzeń
      Do 50 urządzeń
      Do 100 urządzeń
      Więcej niż 100 urządzeń
      Do 20 urządzeńDo 50 urządzeńDo 100 urządzeńWięcej niż 100 urządzeń

        Dane kontaktowe
        Partner stały
        Początek współpracy
        Partner stałyPoczątek współpracy
        ×

        Informacje o bezpieczeństwie produktu (GPSR)

        Producent

        Bitdefender

        Nazwa własna: Bitdefender
        Adres: 15A Orhideelor Road, Orhideea Towers
        060071 Bukareszt, 6. Dzielnica
        Rumunia

        Kontakt:
        https://www.bitdefender.com/consumer/support/help/
        Contact Support - Bitdefender

        Ostrzeżenia dotyczące bezpieczeństwa

        Lista ostrzeżeń dotyczących bezpieczeństwa antywirusów i bezpieczeństwa oparta o wymagania Rozporządzenia (UE) 2023/988 w sprawie ogólnego bezpieczeństwa produktów (GPSR).

        Oprogramowanie antywirusowe i zabezpieczające to szeroka kategoria produktów, dlatego poniższe ostrzeżenia mają charakter ogólny i mogą nie odnosić się do wszystkich konkretnych produktów.

        Instrukcja bezpieczeństwa dla programów antywirusowych i zabezpieczających

        1. Wybór odpowiedniego oprogramowania

        • Wybieraj programy z uznanych źródeł, takich jak oficjalne strony producentów.
        • Zwracaj uwagę na oceny i recenzje użytkowników oraz niezależnych organizacji zajmujących się testowaniem oprogramowania.

        2. Aktualizacje

        • Regularnie aktualizuj programy antywirusowe i zabezpieczające, aby mieć pewność, że są one chronione przed najnowszymi zagrożeniami.
        • Włącz automatyczne aktualizacje, jeśli to możliwe.

        3. Skanowanie systemu

        • Przeprowadzaj regularne skanowania całego systemu w celu wykrycia potencjalnych zagrożeń.
        • Ustaw harmonogram skanowania, aby nie zapomnieć o tej czynności.

        4. Ochrona w czasie rzeczywistym

        • Upewnij się, że funkcja ochrony w czasie rzeczywistym jest włączona, aby zminimalizować ryzyko infekcji.
        • Monitoruj aktywność programu antywirusowego i reaguj na wszelkie zgłoszone zagrożenia.

        5. Bezpieczeństwo Internetu

        • Korzystaj z dodatkowych funkcji, takich jak zapory ogniowe i filtry ochrony prywatności.
        • Bądź ostrożny przy pobieraniu plików oraz wchodzeniu na nieznane strony internetowe.

        6. Zarządzanie dostępem

        • Ogranicz dostęp do programów zabezpieczających tylko do zaufanych użytkowników.
        • Używaj silnych haseł do kont związanych z oprogramowaniem zabezpieczającym.

        7. Edukacja użytkowników

        • Przeszkol wszystkich użytkowników korzystających z systemu w zakresie bezpieczeństwa.
        • Wprowadź zasady dotyczące rozpoznawania potencjalnych zagrożeń, takich jak phishing.

        8. Tworzenie kopii zapasowych

        • Regularnie twórz kopie zapasowe ważnych danych, aby w razie infekcji móc przywrócić system do stanu przed atakiem.
        • Upewnij się, że kopie zapasowe są przechowywane w bezpiecznym miejscu, oddzielonym od głównego systemu.

        9. Reakcja na zagrożenia

        • W przypadku wykrycia zagrożenia, niezwłocznie postępuj zgodnie z instrukcjami programu antywirusowego.
        • Rozważ konsultację z profesjonalnym serwisem w sytuacji poważnych infekcji.

        10. Zgłaszanie problemów

        • Zgłaszaj wszelkie nieprawidłowości lub problemy z działaniem oprogramowania do odpowiednich kanałów wsparcia technicznego.

        Przestrzeganie powyższych wytycznych pomoże w skutecznej ochronie systemu przed zagrożeniami oraz w zapewnieniu bezpieczeństwa danych.