LeakNet Ransomware wykorzystuje ClickFix na zhakowanych stronach, wdraża loader Deno w pamięci

Cyberprzestępcy zawsze szukają nowych sposobów, aby obejść bezpieczeństwo. Teraz grupa LeakNet — znana z operacji ransomware — znalazła sposób, który jest zarówno prosty, jak i niebezpiecznie skuteczny. Zamiast tradycyjnych ataków na infrastrukturę, wykorzystuje ClickFix — technikę społecznego inżynierii, która polega na przekonaniu użytkownika, aby samodzielnie uruchomił złośliwy kod. Wszystko to dzieje się na stronach internetowych, które wcześniej hakerzy przejęli. To zmiana w taktyce cyberprzestępczej, która pokazuje, że tradycyjne metody — takie jak kradzież danych logowania — mogą być coraz mniej opłacalne.

Co szczególnie niepokojące, LeakNet wykorzystuje do tego celu Deno — nowoczesny runtime JavaScript'u, który zwykle kojarzy się z legalnym programowaniem. Loader napisany w Deno działa całkowicie w pamięci RAM, co oznacza, że tradycyjne narzędzia do detekcji zagrożeń mają problem z jego wychwyceniem. To nie jest już atak, który można zablokować na poziomie sieciowego firewall'a czy prostego antywirusa. To jest zagrożenie wymagające całkowicie nowego podejścia do bezpieczeństwa.

Historia LeakNet to historia grupy, która nie boi się eksperymentować. Ich nowy arsenal zmienia krajobraz zagrożeń dla polskich firm, szczególnie tych, które wciąż polegają na przestarzałych modelach bezpieczeństwa.

ClickFix: Kiedy Użytkownik Sam Otwiera Drzwi dla Atakującego

ClickFix to taktyka, która na pierwszy rzut oka wydaje się prawie archaiczna — przekonanie użytkownika, aby uruchomił polecenie systemowe pod pozorem rozwiązania problemu technicznego. Jednak jej skuteczność jest zatrważająca. Użytkownik widzi komunikat o błędzie, który wygląda autentycznie, i zostaje poproszony o wykonanie prostej czynności. Niewinnie skopiuje polecenie i wklei je w terminal. Kilka sekund później jego komputer zostaje zainfekowany.

To, co czyni ClickFix szczególnie niebezpiecznym w wykonaniu LeakNet, to fakt, że całe zagrożenie pochodzi ze stron internetowych, które użytkownik odwiedza normalnie. Nie ma tutaj phishingowego e-maila, który można byłoby filtrować na poziomie serwera poczty. Nie ma też podejrzanego linku, który wyglądałby dziwnie. Zamiast tego, gdy użytkownik wejdzie na skompromitowaną witrynę — czasem popularną, czasem mniej znaną — natrafi na komunikat ostrzegający go o „problemie z bezpieczeństwem" lub „zainfekowanym systemie". Wszystko wygląda profesjonalnie i budzące zaufanie.

Bezpieczeństwo w tym scenariuszu zależy od jednego czynnika: świadomości użytkownika. Ale wiedza o zagrożeniach w polskich firmach wciąż pozostaje na niskim poziomie. Ankiety pokazują, że znaczna część pracowników nie potrafiłaby odróżnić autentycznego komunikatu systemowego od fałszywego. Dla grupy LeakNet oznacza to ogromną szansę na sukces.

Warto też zauważyć, że ClickFix może być dostarczany na wiele sposobów. Może to być popup, który pojawia się na witrynie. Może to być też baner, który wygląda jak oficjalna wiadomość od właściciela strony. Hakerzy mogą nawet manipulować wersją mobilną strony, aby komunikat pojawił się na smartfonie użytkownika — gdzie jest jeszcze trudniej ocenić autentyczność ostrzeżenia.

Deno Runtime: Nowa Broń w Arsenale Cyberprzestępców

Deno to nowoczesna alternatywa dla Node.js, stworzona przez twórcę JavaScriptu, Ryan'a Dahl'a. Dla większości deweloperów to po prostu narzędzie do pisania szybszego, bezpieczniejszego kodu. Dla cyberprzestępców to coś innego — to okazja.

LeakNet wykorzystuje Deno do stworzenia in-memory loader'a — programu, który działa wyłącznie w pamięci RAM komputera. Oznacza to, że nie tworzy żadnych plików na dysku. Tradycyjne rozwiązania antywirowe szukają złośliwych plików — skanują dysk, analizują pliki wykonywalne, sprawdzają sygnatury. Ale jeśli zagrożenie nigdy nie trafia na dysk, te narzędzia są praktycznie bezużyteczne.

Loader napisany w Deno może wykonywać dowolny kod bezpośrednio w pamięci. W praktyce oznacza to, że atakujący mogą:

• Pobierać i uruchamiać ransomware bezpośrednio z serwera dowodzenia
• Modyfikować zachowanie systemu na bieżąco, bez konieczności instalacji stałych komponentów
• Ukrywać ślady swojej działalności, ponieważ nic nie zostaje zapisane na dysku
• Omijać tradycyjne narzędzia do detekcji zagrożeń, które szukają plików

Fakt, że LeakNet wybrał Deno, pokazuje rosnącą sofistykację grupy. To nie jest już atak, który można zablokować prostym antywirus. To jest atak, który wymaga głębokich umiejętności w zakresie bezpieczeństwa systemów operacyjnych, monitorowania procesów w pamięci i detekcji anomalii behawioralnych.

Dla polskich firm, które wciąż polegają na tradycyjnych rozwiązaniach bezpieczeństwa, to oznacza, że ich systemy mogą być zainfekowane bez żadnego widocznego znaku zainfekowania. Ransomware może działać w tle, szyfrując dane, a administrator systemu nie będzie miał pojęcia, co się dzieje, dopóki nie będzie za późno.

Kompromitowane Witryny: Infrastruktura Ataku na Twojej Ulicy

LeakNet nie buduje nowej infrastruktury do przeprowadzania ataków. Zamiast tego przejmuje istniejące strony internetowe i wykorzystuje je jako platformę do rozpowszechniania ClickFix. To podejście ma wiele zalet dla atakujących — witryny są już znane i zaufane przez użytkowników, co zwiększa szanse, że ktoś kliknie na fałszywy komunikat.

Pytanie brzmi: jak LeakNet przejmuje te witryny? Istnieje kilka możliwości. Po pierwsze, mogą wykorzystywać znane podatności w systemach zarządzania treścią, takie jak WordPress czy Joomla. Po drugie, mogą kupić dostęp do skompromitowanych serwerów na czarnym rynku. Po trzecie, mogą przeprowadzić ataki na administratorów stron, aby uzyskać ich hasła.

Dla właścicieli stron internetowych w Polsce to powinno być ostrzeżenie. Jeśli Twoja witryna zostanie przejęta, możesz nieświadomie rozpowszechniać malware do tysięcy użytkowników. Odpowiedzialność prawna i reputacyjna może być ogromna. Agencja Bezpieczeństwa Wewnętrznego już wydawała ostrzeżenia dotyczące tego typu ataków — polska infrastruktura internetowa jest coraz częściej atakowana.

Co gorsza, właściciele stron mogą nie wiedzieć, że ich witryna została przejęta. Atakujący mogą być bardzo dyskretni — mogą dodać ClickFix tylko dla określonych użytkowników, na przykład tych, którzy odwiedzają stronę z określonych krajów lub w określonych godzinach. To utrudnia detekcję problemu.

Od Kradnionych Haseł do Społecznego Inżynierii: Ewolucja Taktyk LeakNet

Historia grup ransomware pokazuje wyraźny trend: im bardziej bezpieczeństwo się rozwija, tym bardziej zaawansowane stają się ataki. LeakNet nie jest wyjątkiem. Przejście z tradycyjnych metod — takich jak kradzież danych logowania czy exploit'y zero-day — na ClickFix to pokazanie, że grupa dostosowuje się do nowego krajobrazu bezpieczeństwa.

Kradzież haseł ma sens, gdy pracownicy używają słabych haseł i gdy nie ma uwierzytelniania wieloskładnikowego. Ale coraz więcej firm wdraża MFA, a hasła stają się coraz bardziej skomplikowane. ClickFix, z drugiej strony, nie wymaga złamania żadnych systemów bezpieczeństwa — wymaga tylko oszukania użytkownika. To jest znacznie tańsze i bardziej niezawodne.

LeakNet to grupa, która zdaje się rozumieć, że przyszłość cyberprzestępczości leży w społecznym inżynierii, a nie w tradycyjnych atakach technicznych. To jest niepokojące, ponieważ społeczną inżynierię można tylko do pewnego stopnia zautomatyzować. Wymaga ona zrozumienia psychologii człowieka, umiejętności tworzenia wiarygodnych scenariuszy i zdolności do dostosowania się do nowych trendów w bezpieczeństwie.

Dla polskich organizacji to oznacza, że szkolenia z zakresu bezpieczeństwa stają się nie mniej ważne niż tradycyjne narzędzia techniczne. Pracownik, który wie, jak rozpoznać fałszywy komunikat o błędzie, jest dla firmy bardziej wartościowy niż najdroższy firewall.

Bezpieczeństwo Zero Trust: Odpowiedź na Zagrożenia Takie Jak LeakNet

Tradycyjne modele bezpieczeństwa opierały się na założeniu, że wszystko wewnątrz sieci firmowej jest bezpieczne. Jeśli pracownik był w biurze, jego komputer był zaufany. Jeśli połączenie VPN było nawiązane, ruch był bezpieczny. Te założenia nie mają już sensu w świecie, gdzie pracownicy pracują z domu, używają urządzeń osobistych i odwiedzają niezaufane witryny.

Podejście Zero Trust zmienia tę logikę. Zamiast zaufania do urządzenia lub sieci, system weryfikuje każde działanie użytkownika w czasie rzeczywistym. Jeśli pracownik próbuje uzyskać dostęp do wrażliwych danych, system sprawdza nie tylko jego tożsamość, ale także stan jego urządzenia, lokalizację, czas dnia i inne czynniki. Jeśli coś wygląda podejrzanie, dostęp jest odmawiany lub wymagane jest dodatkowe uwierzytelnienie.

W kontekście ataku LeakNet, Zero Trust mogłoby zmienić grę. Nawet jeśli użytkownik uruchomiłby złośliwy kod z ClickFix, system by to wykrył. Loader Deno próbowałby nawiązać połączenie z serwerem dowodzenia, ale Zero Trust system by to zablokował, ponieważ połączenie wyglądałoby podejrzanie. Ransomware próbowałby uzyskać dostęp do plików, ale system by sprawdził, czy użytkownik faktycznie powinien mieć dostęp do tych plików w tym momencie.

ZTNA (Zero Trust Network Access) to bardziej zaawansowana forma Zero Trust, która eliminuje tradycyjne obwody sieciowe. Zamiast VPN, który daje użytkownikowi dostęp do całej sieci, ZTNA daje dostęp tylko do konkretnych aplikacji, które użytkownik potrzebuje. To znacznie ogranicza możliwości bocznego ruchu — czyli możliwości, którą atakujący mogliby wykorzystać, aby rozprzestrzeniać się po sieci po uzyskaniu dostępu do jednego komputera.

Polska Infrastruktura i Gotowość na Ataki LeakNet

Polska jest coraz częściej atakowana przez grupy ransomware. Raport ABW z 2023 roku pokazał, że liczba incydentów bezpieczeństwa w polskich organizacjach wzrosła o ponad 40 procent w porównaniu z rokiem poprzednim. LeakNet jeszcze nie jest znany jako grupa, która specjalizuje się w atakach na Polskę, ale to tylko kwestia czasu.

Polska ma kilka cech, które czynią ją atrakcyjnym celem dla cyberprzestępców. Po pierwsze, wiele polskich firm wciąż korzysta ze starszych systemów i oprogramowania, które nie są regularnie aktualizowane. Po drugie, świadomość zagrożeń bezpieczeństwa w Polsce jest niższa niż w Stanach Zjednoczonych czy Niemczech. Po trzecie, polska infrastryka krytyczna — taka jak elektrownie, szpitale czy banki — jest celem dla atakujących wspieranego przez państwa.

Dla polskich firm oznacza to, że muszą poważnie potraktować zagrożenia takie jak LeakNet. To nie jest już kwestia przyszłości — to jest kwestia teraźniejszości. Firmy, które nie podejmą działań teraz, będą narażone na ryzyko.

Co konkretnie powinny robić polskie organizacje? Po pierwsze, powinny wdrożyć narzędzia do monitorowania procesów w pamięci — tradycyjne antywirus nie wystarczy. Po drugie, powinny szkolić pracowników w zakresie rozpoznawania ClickFix i innych taktyk społecznej inżynierii. Po trzecie, powinny rozważyć wdrożenie ZTNA, aby ograniczyć możliwości bocznego ruchu. Po czwarte, powinny mieć plan reagowania na incydenty — bo jeśli dojdzie do ataku, szybka reakcja może być różnicą między małą stratą a katastrofą.

Techniczny Głębia: Jak Działa Deno Loader w Praktyce

Aby naprawdę zrozumieć zagrożenie, które stanowi LeakNet, warto przyjrzeć się bliżej, jak funkcjonuje ich Deno loader. Runtime Deno ma kilka cech, które czyni go atrakcyjnym dla atakujących. Po pierwsze, jest zaprojektowany do uruchamiania kodu JavaScript bez konieczności kompilacji. Po drugie, ma dostęp do API systemu operacyjnego, co pozwala mu na wykonywanie dowolnych operacji systemowych. Po trzecie, jest mniej znany niż Node.js, co oznacza, że mniej administratorów systemów wie, jak go monitorować.

Loader napisany w Deno może być załadowany przez ClickFix w następujący sposób. Użytkownik uruchamia polecenie, które pobiera skrypt Deno z serwera atakującego. Skrypt jest uruchamiany bezpośrednio w pamięci — nigdy nie trafia na dysk. Następnie loader pobiera właściwy ransomware z serwera dowodzenia i uruchamia go również w pamięci. Ransomware rozpoczyna szyfrowanie plików użytkownika.

Całość procesu zajmuje zaledwie kilka sekund. Administrator systemu może nie zauważyć nic podejrzanego, dopóki nie będzie za późno. Tradycyjne narzędzia do detekcji zagrożeń mogą nie wychwycić nic, ponieważ nie ma żadnych plików do skanowania. Nawet narzędzia do monitorowania ruchu sieciowego mogą mieć problem, jeśli ruch jest zaszyfrowany.

Deno ma również możliwość ukrywania się przed nadzorem. Może zmieniać swoją nazwę procesu, aby wyglądał jak inny, legalne oprogramowanie. Może też manipulować logami systemowymi, aby usunąć dowody swojej działalności. To wszystko czyni go bardzo niebezpiecznym narzędziem w rękach cyberprzestępców.

Przyszłość: Co Czeka nas Dalej?

LeakNet to tylko jedna z wielu grup, które eksperymentują z nowymi taktykami. Inne grupy ransomware obserwują, co robi LeakNet, i jeśli się powiedzie, będą naśladować. ClickFix i Deno loader mogą stać się standardowymi narzędziami w arsenale cyberprzestępców.

Dla branży bezpieczeństwa oznacza to, że musimy zmienić sposób myślenia o zagrożeniach. Tradycyjne narzędzia — antywirus, firewall, IDS — są już niewystarczające. Musimy skupić się na detekcji anomalii behawioralnych, monitorowaniu procesów w pamięci i implementacji Zero Trust. Musimy też inwestować w edukację pracowników, ponieważ człowiek pozostaje najsłabszym ogniwem w łańcuchu bezpieczeństwa.

Dla polskich firm oznacza to, że muszą działać szybko. Ataki takie jak LeakNet mogą się rozpowszechniać szybko, a polskie organizacje mogą nie być gotowe. Firmy, które podejmą działania teraz — wdrażając ZTNA, szkoląc pracowników i inwestując w nowoczesne narzędzia do detekcji zagrożeń — będą znacznie lepiej przygotowane na to, co czeka nas w przyszłości. Dla pozostałych czeka rozczarowanie i znaczne straty finansowe.