Bitdefender Threat Debrief – Marzec 2025

Ransomware to niezwykle groźne cyberzagrożenie, które stale zmienia taktykę, a naszym celem w tym miesięcznym raporcie Bitdefender Threat Debrief jest pomoc w ochronie przed nim. Aby to zrobić, łączymy informacje z ogólnodostępnych źródeł (OSINT) – takich jak doniesienia prasowe i badania – z danymi, które zbieramy, analizując portale wycieków danych (DLP), strony internetowe, na których grupy ransomware publikują informacje o swoich ofiarach. Ważne jest, aby pamiętać, że nie możemy niezależnie zweryfikować wszystkich tych twierdzeń, ale możemy być całkiem pewni trendów, które widzimy w czasie. W raporcie z tego miesiąca Bitdefender przeanalizował dane za okres od 1 do 28 lutego i odnotował łącznie 962 roszczenia dotyczące ofiar.

Luty miesiącem rekordowym w historii ransomware

Dane z lutego ujawniły ponury kamień milowy w historii ransomware: oszałamiający 126% wzrost liczby zgłoszonych ofiar rok do roku, z 425 ofiar w lutym 2024 r. do 962 w lutym 2025 r. Jest to najgorszy miesiąc w historii ransomware na podstawie łącznej liczby zgłoszonych ofiar. Spośród tych 962 ofiar, oszałamiające 335 zostało zgłoszonych przez grupę Clop (Cl0p). To wzrost o 300% w porównaniu z poprzednim miesiącem przez tę grupę RaaS i nasuwa się pytanie: co stoi za tym nagłym wzrostem?

Odpowiedź leży w zmianie, przed którą ostrzegaliśmy od 2022 r., ale która wciąż zaskakuje wielu. Zamiast skupiać się na konkretnych firmach lub branżach, niektóre grupy ransomware stają się coraz bardziej oportunistyczne, atakując nowo odkryte luki w zabezpieczeniach oprogramowania w urządzeniach sieciowych.

Oto, jak to działa: cyberprzestępcy, niezależnie od tego, czy kierują się motywami finansowymi, czy są powiązani z państwem, koncentrują się na wyszukiwaniu luk w zabezpieczeniach, które spełniają określone kryteria:

• Luki te mają wysokie wskaźniki ryzyka (CVSS).
• Luki umożliwiają atakującym przejęcie zdalnej kontroli nad systemem (RCE).
• Luki dotyczą oprogramowania dostępnego za pośrednictwem Internetu.
• Twórca exploita lub osoba zajmująca się wykorzystywaniem luk w zabezpieczeniach opublikował już dowód koncepcji (PoC) procesu eksploatacji luk.

Mniej niż 24 godziny po publicznym ujawnieniu luki w zabezpieczeniach, sprawcy zagrożeń uruchamiają automatyczne skanery, które przeszukują Internet i ustanawiają zdalny dostęp do podatnych systemów. Po tym początkowym ataku na dostęp sprawcy zagrożeń rozpoczynają drugi etap ataku – ręczne hakowanie ofiar. Ten drugi etap zajmuje trochę czasu. Sprawcy zagrożeń muszą ustalić, które systemy są warte ich wysiłku, a następnie muszą ręcznie włamać się głębiej, zazwyczaj stosując techniki Living Off the Land, aby uniknąć wykrycia. To opóźnienie oznacza, że rzeczywisty atak ransomware lub kradzież danych zwykle ma miejsce tygodnie, a nawet miesiące po uzyskaniu przez sprawców zagrożeń początkowego dostępu.

Powyższy diagram z dokumentu dotyczącego oprogramowania ransomware przedstawia typowy przebieg ataku.

W przypadku Cl0p analiza Bitdefender wskazuje na wykorzystanie przez nich dwóch niedawnych luk w oprogramowaniu do przesyłania plików Cleo, CVE-2024-50623 i CVE-2024-55956. Luki te, ocenione na 9,8 na 10 pod względem powagi, umożliwiły atakującym uruchamianie poleceń w podatnych systemach. Mimo że luki te zostały ujawnione w październiku i grudniu 2024 r., ręczna część ataku zajmuje czas, co może wyjaśniać, dlaczego teraz obserwujemy wzrost liczby ofiar.

Oto kilka kluczowych środków obronnych, które mogą mieć istotne znaczenie w kontekście ochrony przed ransomware:

• Inteligentne łatanie: Nadaj priorytet łatkom dla aktywnie wykorzystywanych luk i zachowaj świadomość znanych exploitów (katalog CISA KEV). Elastyczna strategia łatania jest kluczem do szybkiej reakcji.
• Polowanie na zagrożenia: Proaktywnie przeszukuj swoją sieć pod kątem ukrytych zagrożeń. Odkryj tylne wejścia, zanim atakujący rozpoczną swój główny atak.
• EDR/XDR z SOC/MDR: Użyj zaawansowanych systemów wykrywania (EDR / XDR) i analizy eksperckiej (SOC/ MDR) w celu wykrycia atakujących poruszających się w Twojej sieci (ruch boczny) i zatrzymania ich, zanim dotrą do krytycznych danych.

Ważne wiadomości o oprogramowaniu ransomware

Teraz przyjrzyjmy się innym ważnym nowinom i odkryciom od czasu ostatniego Bitdefender Threat Debrief.

Chatbot pomaga badaczom w badaniu operacji Black Basta: Po wycieku ponad miliona rozmów z czatbotów Black Basta firma zajmująca się cyberbezpieczeństwem opracowała chatbota o nazwie BlackBastaGPT. Narzędzie to pozwala badaczom analizować czaty Black Basta, zmniejszając obciążenie związane z ręcznym wyszukiwaniem i indeksowaniem. Najważniejsze informacje odkryte w analizach za pomocą tego narzędzia obejmują zapisy pokazujące zyski Black Basta, korzystanie przez grupę z deepfake’ów, odniesienia do ponad 60 CVE i walkę grupy o utrzymanie walk wewnętrznych na dystans.

Jeden cytat, który naprawdę się wyróżnił, pochodził od „gg”, lidera grupy Black Basta: „Jeśli używamy standardowych narzędzi, nie zostaniemy wykryci… nigdy nie umieszczamy narzędzi na maszynach”. To stwierdzenie doskonale podkreśla główny element nowoczesnych ataków ransomware, o którym dyskutujemy od jakiegoś czasu: technikę życia z ziemi. Przeczytaj nasz techniczny opis tego w TechZone.

CISA publikuje wspólne ostrzeżenie dotyczące oprogramowania ransomware Ghost: Ghost (Cring) to grupa ransomware z siedzibą w Chinach, która pojawiła się w 2021 r. i wykorzystała luki w zabezpieczeniach oprogramowania i aplikacji narażonych na działanie Internetu, w szczególności CVE-2021-34473, CVE-2021-34523 i CVE-2021-31207. CISA informuje, że sprawca zagrożenia używa uznanych narzędzi, takich jak skrypty PowerShell, Cobalt Strike oraz programy do wyliczania udziałów sieciowych i kontrolerów domen. Oprogramowanie ransomware może szyfrować określone pliki i katalogi lub strukturę pamięci masowej; czyści dzienniki zdarzeń systemu Windows i zakłóca procesy kopiowania woluminów w tle. Organizacjom zaleca się wdrożenie priorytetowych praktyk bezpieczeństwa, w tym następujących kontroli: zmniejszenie ryzyka ataku oprogramowania ransomware Ghost: łatanie zainfekowanego oprogramowania, wymuszanie segmentacji sieci, planowanie kopii zapasowych i wymuszanie uwierzytelniania wieloskładnikowego odpornego na phishing.

Narzędzia RA World są powiązane z chińskimi aktorami zagrożeń: Ataki RA World, które uruchamiają złośliwe oprogramowanie przy użyciu techniki bocznego ładowania DLL, zawierają zestawy narzędzi powiązane z Mustard Panda i innymi chińskimi aktorami zagrożeń. Te same narzędzia były używane w kampaniach cybernetycznego szpiegostwa i wspierały wcześniejsze przewidywania dotyczące łączenia operacji APT i RaaS.

Akira przejmuje kontrolę nad kamerą internetową, aby ominąć zabezpieczenia: Akira wykorzystuje wiele technik do wykonywania ransomware i opracowała unikalne narzędzia, takie jak szyfratory, które są przeznaczone dla różnych systemów operacyjnych. Początkowo Akira infiltrowała sieć ofiary za pomocą niezabezpieczonej aplikacji zdalnego dostępu i uruchamiała AnyDesk, aby wykraść dane ofiary i używać RDP do wykonywania ruchu bocznego przed wykonaniem ransomware.

Ta strategia nie była wykonalna, ponieważ ransomware Akiry zostałby wykryty przez agenta EDR zainstalowanego na większości systemów, a zatem odizolowany od środowiska. Akira szukał i znalazł alternatywną metodę. Po uzyskaniu dostępu do serwera ofiary za pośrednictwem RDP, Akira dodał plik archiwum do serwera, który zawierał ransomware. Aktor zagrożenia przeprowadził skanowanie sieci i znalazł kamerę internetową. Kamera internetowa była idealnym celem, ponieważ miała wady, które umożliwiały zdalny dostęp do powłoki, a urządzenie miało system operacyjny Linux, który był zgodny z szyfratorem Linux Akiry. Ponadto kamera internetowa nie była aktywnie monitorowana ze wdrożonymi kontrolami w celu ostrzegania. Gdy Akira uzyskał dostęp do kamery internetowej, wdrożył ransomware przez SMB; pozwoliło to aktorowi zagrożenia ominąć EDR i zaszyfrować udziały sieciowe i pliki w sieci ofiary.

FunkSec wypuszcza nowe narzędzie: FunkSec to grupa ransomware, która przyciąga uwagę społeczności cyberbezpieczeństwa ze względu na swój szybki wzrost, wykorzystanie sztucznej inteligencji i rozszerzanie partnerstw. Grupa niedawno ogłosiła wydanie narzędzia Wolfer, które jest infostealerem. Po umieszczeniu go na komputerze ofiary polecenia są wprowadzane do wiersza poleceń, aby użyć narzędzia. Wolfer współpracuje z botem Telegram, aby wyprowadzić szczegóły dotyczące celu, takie jak informacje o systemie, połączenia sieciowe, procesy, oprogramowanie w systemie i hasła Wi-Fi.

Cactus jest identyfikowany jako grupa powiązana z Black Basta: Badacze odkryli, że Cactus używa taktyk podobnych do Black Basta w swoich kampaniach ransomware. Obejmuje to stosowanie taktyk inżynierii społecznej, które nadużywają Quick Assist i Teams oraz modułu BC. Cactus wykorzystuje moduł BC QBackConnect do utrzymywania trwałości i wykonywania zadań rozpoznawczych. Moduł ma cechy, które są również powiązane z programem ładującym QakBot.

Pojawiają się nowe grupy ransomware: Anubis i Run Some Wares to dwie z kilku grup, które niedawno odkryto. Obie grupy stosują podwójne taktyki wymuszenia i mają własne strony wycieku danych.

10 najpopularniejszych typów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują deklarowaną liczbę naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę zgłoszonych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 krajów najczęściej atakowanych przez oprogramowanie ransomware

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief to miesięczna seria analizująca wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania Threat Debrief, obserwuj nasz blog i konto LinkedIn.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i codziennie weryfikują 30 miliardów zapytań o zagrożenia. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń. Jeśli chcesz dowiedzieć się więcej na temat rozwiązań antywirusowych Bitdefender, to sprawdź tę stronę.