Bitdefender Threat Debrief Luty 2025

Ransomware utrzymuje silną obecność w krajobrazie zagrożeń, a w 2025 r. możemy spodziewać się, że cyberprzestępcy będą nadal rozwijać swoje metody. W związku z tym ważne jest, aby organizacje były świadome bieżących zagrożeń, nowych trendów i potencjalnego wpływu, jaki te cyberincydenty mogą mieć na ich aktywa i systemy informatyczne. Pomaga to organizacji podejmować świadome decyzje, gdy identyfikują istotne ryzyka dla swojego środowiska i podejmują kroki w celu ich złagodzenia. Bitdefender przeanalizował dane z witryn internetowych grup ransomware od 1 do 31 stycznia, identyfikując łącznie 522 zgłoszone ofiary. Przyjrzyjmy się teraz najważniejszym nowinom i odkryciom od czasu ostatniego Threat Debrief.

Najnowsze wiadomości ze świata cyberprzestępczego

Akira zgłasza najwięcej ofiar w styczniu: Grupa ransomware zgłosiła ponad 300 ofiar w 2024 r. i ma potencjał, aby zgłosić tyle samo ofiar (jeśli nie więcej) do końca 2025 r. W miarę jak Akira zbliża się do 575 ofiar, stopniowo zbliża się do 665+ zgłoszonych ofiar RansomHub.

Clop pozostaje w pierwszej dziesiątce: Clop to grupa ransomware, która nadal wykorzystuje luki CVE-2024-50623 i CVE-2024-55956, które wpływają na produkty Harmony, LexiCom i VLTransfer. Organizacjom zaleca się zapoznanie się z zalecanymi działaniami dotyczącymi tych luk w celu upewnienia się, że używane przez nich oprogramowanie jest najnowszą poprawioną wersją. W momencie wydania tej wersji Clop zgłosił łącznie ponad 660 ofiar. Chociaż na początku ta progresja może pomóc w wykazaniu, że liczba ofiar Clop jest zbliżona i/lub prawdopodobnie przekroczy liczbę ofiar RansomHub, to założenie to jest wątpliwe i może zostać ponownie zbadane. Niektóre ofiary Clop faktycznie zgłosiły się, aby zaprzeczyć twierdzeniom o jakichkolwiek atakach.

Operacja Talent skutkuje przejęciem kluczowych internetowych targowisk: Międzynarodowe śledztwo w styczniu doprowadziło do zamknięcia Nulled and Cracked. Targowiska, które powstały w 2015 i 2016 roku, były wykorzystywane do wymiany nielegalnych towarów, takich jak skradzione dane, złośliwe oprogramowanie i inne materiały. Wspierane przez Europol, kilka podmiotów federalnych przyczyniło się do wysiłków dochodzeniowych, w tym Departament Sprawiedliwości USA, Federalne Biuro Śledcze, Generalny Inspektorat Policji Rumuńskiej i Federalny Urząd Policji Kryminalnej Niemiec. Operacja Talent zakończyła się przejęciem 17 serwerów i aktywów o łącznej wartości 300 000 EUR lub 312 480,00 USD, a także aresztowaniem dwóch podejrzanych.

GD LockerSec bierze odpowiedzialność za wiele naruszeń: Grupa ransomware GD LockerSec była kojarzona z incydentami wpływającymi na organizacje w sektorach rządowym, edukacyjnym i technologicznym. Informacje dotyczące możliwości GD LockerSec są ograniczone, a liczba zgłoszonych incydentów jest niewielka. Istnieją jednak zasady postępowania, które są określone w notatce grupy dotyczącej ransomware. GD LockerSec twierdzi, że zabrania ataków na następujące terytoria: Chiny, Wspólnota Niepodległych Państw, Kuba i Korea Północna. Grupa rzekomo powstrzymuje się od atakowania organizacji non-profit, takich jak szpitale. Z czasem, w miarę publikowania kolejnych aktualizacji dotyczących działań GD LockerSec, śledzenie ich roszczeń i ocena, w jaki sposób ich zasady odpowiadają trwałym wzorcom w wiktymologii lub TTP, może przynieść interesujące wyniki.

Taktyka AWS Living Off the Land oznacza kłopoty dla kontenerów Amazon S3: Codefinger jest powiązany z kampaniami, które wykorzystują dane uwierzytelniające konta ofiary Amazon Web Services i schemat szyfrowania po stronie serwera AWS w celu naruszenia kontenerów S3. Atakujący najpierw uzyskuje dostęp do konta ofiary i identyfikuje klucze dostarczone przez klienta, które mają włączone uprawnienia zapisu i odczytu dla kontenerów S3. Atakujący szyfruje kontenery; po rozpoczęciu szyfrowania klucz nie jest przechowywany w sposób umożliwiający ofierze jego wyodrębnienie i odszyfrowanie. Klucz jest modyfikowany i przedstawiany jako kod uwierzytelniania wiadomości oparty na haszowaniu. Następnie do wszystkich katalogów dodawana jest notatka o okupie, a interfejs API zarządzania cyklem życia obiektów S3 jest konfigurowany w celu usuwania kontenerów S3 w ciągu jednego tygodnia. Organizacjom zaleca się podjęcie niezbędnych kroków w celu zapobiegania tego typu atakom; można to osiągnąć, oceniając swoje zasady IAM i wyłączając ustawienia szyfrowania po stronie serwera (SSE-C) dla kontenerów S3.

GhostGPT daje atakującym kolejne narzędzie AI do zabawy: Generative AI tools, które mają na celu automatyzację komponentów faz uzbrojenia i eksploatacji cyberataku, są w użyciu od kilku lat. GhostGPT dołączył do szeregów narzędzi takich jak WormGPT i HackerGPT. Użytkownik może wprowadzać instrukcje do GhostGPT bez doświadczania konwencjonalnych ograniczeń monitowania, a tym samym generować odpowiedzi na szablony projektowe w celu wykonania Business Email Compromise (BEC) i innych oszustw. GhostGPT zapewnia funkcjonalności, które obsługują nie tylko tworzenie złośliwych skryptów i wiadomości e-mail z inżynierią społeczną, ale także dostęp do botów Telegram.

Luka w 7-Zip pozwala użytkownikom ominąć MOTW i otwierać pliki przechowywane w archiwach: Mark of the Web (MOTW) to atrybut w metadanych pliku, który wskazuje, czy plik pochodzi spoza środowiska użytkownika, czy z Internetu. Ta funkcja, natywna dla systemu Windows, jest oceniana w celu ustalenia, w jaki sposób plik powinien zostać wykonany. Gdy użytkownik otwiera plik, MOTW jest rozpoznawany, co pozwala na wyświetlenie wyskakującego okienka. Następnie użytkownik potwierdza, czy chce kontynuować otwieranie pliku; jeśli plik jest zgodny z pakietem Microsoft Office, jest renderowany w widoku chronionym. CVE-2025-0411 to luka w zabezpieczeniach, która umożliwia użytkownikowi otwarcie zawartości pliku archiwum bez sprawdzania, czy MOTW jest obecny. Atakujący może wysłać użytkownikowi złośliwy plik archiwum. Następnie użytkownik uzyskuje dostęp do tego archiwum za pomocą wersji 7-Zip, której dotyczy luka. Atrybut MOTW nie jest zachowywany w całej zawartości archiwum po jej wyodrębnieniu i uruchomieniu. Użytkownikom zaleca się aktualizację programu 7-Zip do najnowszej wersji 24.09 w celu wyeliminowania tej luki.

Odsłonięto panel partnerski Lynx: Lynx to grupa ransomware, która od lata 2024 r. stosuje podwójne wymuszenia. Panel partnerski grupy został niedawno odkryty przez zespół badaczy bezpieczeństwa, którzy ujawnili, że wysoki procent (80%) środków grupy jest przekazywany partnerom Lynx. Panel jest wyjątkowy, ponieważ zawiera funkcję wypełniania, która pozwala partnerom udostępniać unikalną metodę uwierzytelniania innych osób, z którymi mogą współpracować podczas uruchamiania ataków. Panel partnerski Lynx ma również szereg plików binarnych do wyboru w kampaniach ukierunkowanych na systemy operacyjne Windows i Linux. Iteracje Lynx na systemy Windows i Linux mają właściwości, które pasują do znacznej części kodu INC Ransom. Ponadto ransomware Lynx wykorzystuje szyfrowanie Curve25519 Donna i AES-128.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują deklarowaną liczbę naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę deklarowanych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania BDTD,obserwuj nasz blog i konta na LinkedIn i Facebook.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i codziennie weryfikują 30 miliardów zapytań o zagrożenia. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń. Jeśli chcesz poznać więcej informacji na temat antywirusów Bitdefender, to sprawdź tę stronę.