Bitdefender Threat Debrief | Maj 2025

W tym wydaniu Bitdefender Threat Debrief omawiono kilka kluczowych wydarzeń związanych z ransomware, w tym niedawne ujawnienie grupy LockBit, wzrost zagrożenia Qilin i aktualizacje dotyczące działań DragonForce.

Ransomware to niezwykle dynamiczny rodzaj cyberzagrożenia, a naszym celem w tym miesięcznym raporcie Bitdefender Threat Debrief jest pomoc w ochronie przed nim. Aby to zrobić, zespół Bitdefender połączył informacje z ogólnodostępnych źródeł (OSINT) — takich jak doniesienia prasowe i badania — z danymi, które zbiera, analizując witryny wycieków danych (DLS), na których grupy ransomware publikują informacje o swoich ofiarach. Ważne jest, aby pamiętać, że zespół Bitdefender nie może niezależnie zweryfikować wszystkich tych twierdzeń.

W raporcie z tego miesiąca przeanalizowano dane z okresu od 1 do 30 kwietnia i odnotowano łącznie 542 zgłoszenia dotyczące ataków ransomware.

Naruszenie LockBit

LockBit to grupa oferująca oprogramowanie typu ransomware jako usługę (RaaS), która regularnie mierzy się z wyzwaniami. Ostatnio miała miejsce sytuacja, w której atakujący padł ofiarą ataku.

7 maja 2025 r. doniesienia o naruszeniu ujawniającym operacje LockBit rozprzestrzeniły się na forach cyberbezpieczeństwa i platformach mediów społecznościowych. Atakujący włamał się na stronę LockBit 4.0 onion i opublikował następującą wiadomość: „Nie popełniaj przestępstw PRZESTĘPSTWO JEST ZŁE xoxo z Pragi”. Osoby stojące za naruszeniem zamieściły również na stronie łącze, które umożliwia odwiedzającym dostęp do zrzutu bazy danych MySQL danych LockBit.

Jak doszło do naruszenia?

Podmiot odpowiedzialny za atak na LockBit wykorzystał lukę w serwerze, która ma wpływ na PHP 8.1.2. Po wykorzystaniu tej luki podmiot odpowiedzialny za atak może zdalnie uruchamiać kod.

Zrzut bazy danych zawiera dane obejmujące ostatnie pięć miesięcy, od grudnia 2024 r. do kwietnia 2025 r. Dostępne dane zawierają szczegóły dotyczące programu partnerskiego LockBit i narzędzi, w tym indywidualnych kompilacji i konfiguracji kompilacji w przypadku ataków na ESXi i inne systemy. Identyfikatory użytkowników dla 75 członków stowarzyszonych i hasła, przechowywane w postaci zwykłego tekstu, są również zawarte w tym zrzucie danych. Wyodrębniono prawie 60 000 adresów Bitcoin. Aktor zagrożenia wyodrębnił również tysiące czatów z tabeli czatów. Sam konstruktor LockBit i narzędzie deszyfrujące nie zostały naruszone ani nie wyciekły, a kilka dodatkowych domen LockBit pozostaje aktywnych i nienaruszonych.

Do czego te dane są przydatne?

Badacze zagrożeń i zespoły ds. bezpieczeństwa mogą wykorzystać ujawnione dane do rozwijania wywiadu zagrożeń i wysiłków atrybucyjnych. Na przykład inżynierowie ds. bezpieczeństwa i badacze mogą tworzyć powiązania między grupami afiliacyjnymi, odwołując się do szerszego zestawu danych na temat komponentów narzędzi i kontaktów afiliacyjnych.

Naruszenie danych osobowych stało się również bodźcem do stworzenia LockBit GPT, mającego na celu usprawnienie analizy zagrożeń i zadań wywiadowczych, które są niezbędne do zrozumienia i zwalczania działań LockBit.

Być może znasz już BlackBasta GPT. Po ujawnieniu Black Basta pod koniec lutego, narzędzie to zostało użyte do zautomatyzowania procesu zbierania i analizowania wyciekłych danych w celu uproszczenia i zbadania rozwoju operacji Black Basta. Hudson Rock, firma zajmująca się bezpieczeństwem i wywiadem, która stoi za BlackBasta GPT, stworzyła również nowy LockBit GPT.

Kto odpowiada za naruszenie bezpieczeństwa LockBit?

Czy za atakiem może stać podmiot stowarzyszony lub rywal? Chociaż istnieje wiele scenariuszy, które mogą wyjaśniać, dlaczego osoba lub podmiot zaatakowałby infrastrukturę LockBit, istnieje jedno wyjaśnienie, które ma uderzające implikacje dla LockBit i podobnych grup. Rozważ przesłanie związane z atakiem i potencjalny wpływ. Ten sam komunikat, „Nie popełniaj przestępstwa PRZESTĘPSTWO JEST ZŁE xoxo z Pragi”, zaobserwowano podczas defacementu na Evereście w marcu 2025 r. Wskazuje to, że naruszenie może być częścią większego działania innej grupy ransomware mającego na celu wykolejenie konkurencji i zdobycie większych zasobów, w tym podmiotów stowarzyszonych i celów.

Ostatnie wyzwania LockBit

Najnowsze naruszenie bezpieczeństwa wydłuża listę wyzwań, z którymi LockBit musiał się zmierzyć na przestrzeni lat. We wrześniu 2022 r. wyciekł program LockBit 3.0 builder, co otworzyło innym grupom drogę do działania, ponieważ opracowywały szyfratory przy użyciu tego programu. Następnie w 2024 r. organy ścigania zaatakowały operacje LockBit, przejmując infrastrukturę. Obawy dotyczące personelu i większa kontrola nad grupą pojawiły się również w następstwie zarzutów przeciwko siedmiu kluczowym pracownikom LockBit, w tym programiście Rostislavowi Panevowi, prawie rok później.

Ofiary LockBit

LockBit spadł z pierwszej dziesiątki grup ransomware w październiku 2024 r., ale pozostał aktywny w kolejnych sześciu miesiącach, przeprowadzając ataki wykorzystujące ransomware LockBit i LockBit 3.0. Jednak liczba ofiar, które LockBit poniósł każdego miesiąca w tym okresie, znacznie spadła i w tym momencie nie odzyskał miejsca w pierwszej dziesiątce w rankingu Bitdefender.

Ransomware i świadomość bezpieczeństwa

Niektóre grupy ransomware działają latami i mają niszczycielski wpływ na sektor publiczny i prywatny. Inne grupy mogą zaprzestać działalności, często w wyniku działań organów ścigania, podziałów w grupie lub czynników zewnętrznych, takich jak konkurencja i ograniczone zasoby.

Niezależnie od dojrzałości grupy ransomware, luk operacyjnych lub zmieniającego się wpływu, ważne jest zrozumienie zagrożeń ransomware i najlepszych praktyk, które są niezbędne do zabezpieczenia aktywów organizacji.

Ważne wiadomości o oprogramowaniu ransomware

Przyjrzyjmy się teraz innym ważnym nowinom i odkryciom od czasu naszego ostatniego Threat Debrief.

Qilin plasuje się w czołówce grup w kwietniu: Qilin wywołuje poruszenie w krajobrazie zagrożeń, nie tylko ze względu na liczbę ofiar, ale także ze względu na stosowanie technik ukrytych i taktyk unikania obrony. Grupa i jej filia używały ładowarek .NET w ostatnich kampaniach, aby zwalczać powszechne metody wykrywania wirusów poprzez zaciemnianie przepływu sterowania złośliwego kodu i stosowanie wstrzykiwania refleksyjnego w celu ładowania złośliwego oprogramowania do pamięci. Qilin poniosło największą jak dotąd liczbę ofiar w kwietniu, w sumie 71 ofiar. Stało się to wkrótce po partnerstwie grupy z DragonForce. Po rozwiązaniu problemu RansomHub grupa może nadal zabezpieczać wyższe pozycje w pierwszej dziesiątce.

Ataki SatanLock są tuż za Qilin: SatanLock zajął drugie miejsce w pierwszej dziesiątce rankingu Bitdefender. Grupa jest powiązana z Babuk2, grupą znaną również pod pseudonimem Bjorka. Bjorka korespondowała z grupą o nazwie FunkSec na początku roku, szukając możliwości zostania członkiem grupy. Powiązanie SatanLock z Babuk2 rodzi pytania o cechy ich ataków i o to, czy będą nadal wykorzystywać ransomware lub stosować taktyki, które stały się znakiem rozpoznawczym zachowania Babuk2. Taktyki te obejmują ponowne wiktymizację i kradzież danych, co skutkuje wymuszeniami i/lub aukcjami na zamkniętym rynku.

DragonForce wprowadza inny model usług ransomware: DragonForce ogłosił, że teraz działa jako kartel. Zamiast ograniczać usługi do poziomu deweloperów (poprzez wyłączną dystrybucję ransomware i innych złośliwych skryptów), grupa oferuje teraz infrastrukturę i panele administracyjne dla hakerów i partnerów. W zamian DragonForce otrzymuje 20% zysków. To ogłoszenie nastąpiło prawie dwa tygodnie po tym, jak RansomHub przeniósł swoją infrastrukturę do DragonForce. DragonForce nie jest jedyną grupą, która przyjęła model zysku odbiegający od RasS. Anubis, grupa, która powstała w lutym, złożyła podobne ogłoszenie.

RansomHub działa pod DragonForce: Po zgłoszeniu 70 ofiar w marcu infrastruktura RansomHub została wyłączona. RansomHub korzystał z infrastruktury DragonForce, co wywołało wiele zamieszania w kolejnych dniach. Początkowo decyzję tę uważano za tymczasową. Jednak DragonForce ogłosiło partnerstwo z RansomHub, co wywołało konflikt wśród członków RansomHub. Podmioty stowarzyszone RansomHub nie mogły uzyskać dostępu do komunikacji RansomHub; a niektórzy członkowie wyrazili swoje zdziwienie w społeczności cyberprzestępców RAMP. Kilka tygodni później RansomHub pozostaje nieaktywny. Nie jest jasne, czy ich przejście na DragonForce było celowe i zaplanowane, czy też wymuszone na grupie.

RAlord zmienia nazwę na Nova: Nova to grupa ransomware z witryną wycieku danych i blogami, które nazywają i piętnują, które sięgają marca 2025 r. Jednak nie jest to nowa ani rozwijająca się grupa. Działania Nova można powiązać z RAlord. Według witryny wycieku danych Nova (DLS) jest to drugi DLS grupy od 2017 r. Grupa nie używa CAPTCHA do zabezpieczania swojego DLS. Zamiast tego Nova używa oceny CTA lub Capture the Answer. Odwiedzającym witrynę wyświetla się wiele pytań dotyczących typowych tematów etycznego hakowania, scenariuszy dotyczących korzystania z narzędzi, problemów z poleceniami i operacji XOR. Użytkownicy, którzy odpowiedzą poprawnie na wszystkie pytania, mogą uzyskać dostęp do DLS. Ci, którym się nie uda, zostaną przekierowani na stronę Scr i pt Kiddies Wiki.

Atak BYOI jest wykorzystywany do ominięcia EDR: Bring Your Own Installer, czyli BYOI, to technika stosowana przez aktorów zagrożeń jako obejście w celu ominięcia EDR i zabezpieczeń antysabotażowych. Jest podobna do techniki Bring Your Own Vulnerable Driver (BYOVD), ponieważ obejmuje użycie legalnych komponentów (podpisanego instalatora dla podejścia BYOI). Według ostatniego raportu, cyberprzestępcy stosują atak BYOI, który wykorzystuje znaną lukę w głównym agencie EDR. Pozwala to aktorowi zagrożeń wyłączyć EDR bez natychmiastowego dostępu do kodu antysabotażowego EDR i umożliwia aktorowi wdrożenie oprogramowania ransomware Babuk. To podejście jest często skuteczne. W rzeczywistości, w niedawnej ocenie AV-Comparatives, jedno na trzy rozwiązania bezpieczeństwa nie przeszło testu certyfikacji antysabotażowej.

ToyMaker łączy siły z Cactus, zapewniając dostęp do celów: ToyMaker to grupa, która działa jako początkowy broker dostępu (IAB). ToyMaker współpracował z grupą ransomware Cactus, przyznając im dostęp do systemów po wykorzystaniu luk lub wykorzystaniu niestandardowych narzędzi, takich jak malware LAGTOY. Złośliwe oprogramowanie LAGTOY może wykonywać kilka czynności, w tym kradzież danych uwierzytelniających, tworzenie odwrotnych powłok i łączenie się z serwerem C2 w celu odbierania i wykonywania poleceń. Chociaż ToyMaker jest grupą motywowaną finansowo, procent zysków, jakie mogą otrzymać od Cactus, nie jest jeszcze znany.

10 najpopularniejszych rodzin ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy publikują deklarowaną liczbę naruszonych organizacji. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko deklarowaną liczbę ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Oto 10 krajów, które najbardziej ucierpiały w wyniku tych ataków w kwietniu 2025 r.

10 najczęściej atakowanych branż

Gangi ransomware mogą atakować organizacje w ekosystemie infrastruktury krytycznej, wybierać inne organizacje oferujące usługi dostosowane do rynku konsumenckiego lub atakować obie. Oto 10 największych branż, najczęściej atakowane przez grupy ransomware w kwietniu.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości, trendy i badania dotyczące zagrożeń związanych z ransomware z poprzedniego miesiąca. Nie przegap kolejnej aktualizacji BDTD, obserwuj naszą stronę internetową, nasz profil na Facebooku i LinkedIn.

Natomiast jeśli chcesz poznać możliwości, które zapewni Twojej organizacji system antywirusowy z linii Bitdefender GravityZone, to sprawdź tę stronę.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z rozwiązań biznesowych i konsumenckich. Laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i weryfikują 30 miliardów zapytań o zagrożenia dziennie. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.