HeadFlash

Security

FBI rozbija AI phishing, REDCap zhakowany, Conti w sądzie – security news

FBI i Google niszczą chińską platformę phishingową AI, hakerzy kradną dane medyczne z REDCap, Ukrainiec przyznaje się do winy w sprawie Conti i inne ważne historie.

Posłuchaj

FBI i Google rozbijają chińskie phishing-as-a-service Outsider Enterprise

W skoordynowanej akcji FBI, Google i Black Lotus Labs rozbiły chińską operację phishing-as-a-service o nazwie Outsider Enterprise, działającą od co najmniej 2023 roku. Platforma wykorzystywała sztuczną inteligencję do generowania fałszywych stron internetowych podszywających się pod znane marki, a jej użytkownicy płacili 88 dolarów tygodniowo lub 200 dolarów miesięcznie za dostęp do ponad 290 szablonów. Google w swoim pozwie cywilnym ujawnił, że operatorzy udostępniali klientom samouczki, w tym film instruktażowy, jak nakłonić model AI Gemini do napisania kodu HTML dla strony phishingowej, omijając zabezpieczenia modelu. FBI szacuje, że operacja doprowadziła do kradzieży około 3,87 miliona kart kredytowych i strat w wysokości 1,9 miliarda dolarów. Podczas takedownu, będącego częścią operacji Riptide, przejęto serwery administracyjne, sklep Shopify na platformie e-commerce oraz około 100 000 dolarów w USDT z portfeli płatniczych. Tysiące domen phishingowych zarejestrowanych u amerykańskich dostawców przekierowuje teraz na stronę FBI. Google złożył pozew cywilny na podstawie ustawy RICO i o naruszenie znaków towarowych, a także współpracuje z operatorami AT&T, T-Mobile i Verizon w celu blokowania fałszywych wiadomości SMS. W maju w ciągu dwóch tygodni wysłano 2,5 miliona SMS-ów do użytkowników Androida, z czego 55 000 zgłoszono jako oszustwa. Google wykorzystuje tę sprawę do promowania siedmiu dwupartyjnych ustaw antyoszukańczych w USA, w tym Stop SCAMS Act, który wymagałby od FBI prowadzenia skoordynowanej strategii antyoszukańczej.

FBI disrupts massive AI-powered phishing service using a million URLs →

Chińscy hakerzy włamują się na serwery REDCap i kradną dane medyczne

Zespół Google Threat Intelligence Group (GTIG) ujawnił kampanię szpiegowską powiązaną z Chinami, która wykorzystała niezabezpieczone serwery REDCap do wdrożenia złośliwego oprogramowania InfiniteRed i kradzieży wrażliwych danych z instytucji medycznych w Ameryce Północnej. Działania grupy UNC6508 pozostawały niewykryte przez ponad rok — kompromitacja rozpoczęła się we wrześniu 2023 roku i trwała do listopada 2025. Trzy miesiące po początkowym włamaniu atakujący wdrożyli niestandardowe narzędzie InfiniteRed, które ukryli w trojanizowanych plikach systemowych serwera. Malware składa się z trzech komponentów: modułu persistencji/aktualizacji, przechwytywacza poświadczeń i backdoora. Loginy i hasła są szyfrowane i przechowywane w lokalnych tabelach REDCap. Backdoor umożliwia wykonywanie poleceń, przesyłanie i pobieranie plików, uruchamianie zapytań SQL oraz kradzież poświadczeń. Nowatorską techniką, niestosowaną wcześniej przez chińskich aktorów, jest wykorzystanie legalnej funkcji „content compliance rules” w chmurowych narzędziach produktywności do eksfiltracji danych przez e-mail. Po uzyskaniu dostępu administratora UNC6508 stworzył regułę o nazwie „Patroit”, która automatycznie wysyłała kopię ukrytą wiadomości zawierających słowa kluczowe związane z badaniami medycznymi, technologią, wojskiem i polityką na konto Gmail. Google powiadomił wiele organizacji w USA i Kanadzie o kompromitacji, a REDCap zaleca aktualizację instancji i wdrożenie MFA oraz Device Bound Session Credentials.

Chinese hackers breach REDCap servers, steal medical research →

Ukrainiec przyznaje się do winy w sprawie ransomware Conti

Oleksii Oleksiyovych Lytvynenko, 44-letni obywatel Ukrainy, przyznał się 12 czerwca 2026 roku w sądzie federalnym USA do spisku mającego na celu popełnienie oszustwa elektronicznego w ramach działalności grupy ransomware Conti. Zarzut grozi mu karą do 20 lat więzienia, a wyrok zaplanowano na 10 września 2026 roku. Lytvynenko dołączył do Conti we wrześniu 2021 roku, gdzie rozwijał loader złośliwego oprogramowania i zarządzał skradzionymi danymi od 12 ofiar, w tym ośmiu z USA. Został aresztowany w Irlandii w lipcu 2023 roku, a ekstradycja do USA nastąpiła dopiero w październiku 2025 roku. Conti, działające w modelu ransomware-as-a-service od początku 2020 do połowy 2022 roku, zainfekowało ponad 1000 sieci na całym świecie i wyłudziło co najmniej 150 milionów dolarów w Bitcoinach, stosując podwójne wymuszenie: szyfrowanie danych i groźbę ich publikacji. Grupa rozpadła się po wycieku wewnętrznych komunikatorów w 2022 roku. Sprawa Lytvynenki pokazuje, że amerykański wymiar sprawiedliwości skutecznie ściga członków Conti nawet cztery lata po rozwiązaniu grupy.

Ukrainian man pleads guilty in US to Conti ransomware charges →

AI napędza rekordową falę ransomware – raport Travelers

Z raportu Travelers za pierwszy kwartał 2026 roku wynika, że 84 indywidualne grupy przestępcze opublikowały na dark webie dane ponad 2400 firm-ofiar, co stanowi najwyższy poziom aktywności od początku badania w 2020 roku. Trzy najbardziej aktywne grupy odpowiadały za 34% wszystkich wpisów. Mimo że 20 grup zakończyło działalność, pojawiło się 19 nowych, co świadczy o rosnącej konkurencji w ekosystemie ransomware. Lauren Winchester z Travelers podkreśliła, że jest to nowy, podwyższony poziom bazowy, który organizacje muszą uwzględnić jako środowisko operacyjne. Christine Mapes wskazała, że sztuczna inteligencja znacząco podnosi jakość i objętość ataków typu business email compromise oraz socjotechnicznych – perfekcyjne gramatycznie, dostosowane do firmy i psychologicznie atrakcyjne e-maile są generowane przez AI. Mapes ostrzegła też przed rosnącym zagrożeniem ze strony deepfake’ów głosowych i wideo oraz „Shadow AI” – używania niezatwierdzonych narzędzi AI przez pracowników, co może prowadzić do wycieku danych. Zaleca stosowanie dodatkowego kanału weryfikacji przy każdym żądaniu dotyczącym pieniędzy lub poufnych informacji.

AI is fueling a surge of new ransomware threats: Travelers →

NCSC: gotowość na ransomware musi być priorytetem zarządów

Dyrektor generalny brytyjskiego NCSC Richard Horne wezwał liderów biznesowych do uczynienia gotowości na ransomware strategicznym priorytetem. W podcaście FBI „Ahead of the Threat” Horne zalecił, aby organizacje oceniły, czy mogłyby kontynuować działalność po czterech tygodniach bez dostępu do krytycznych systemów IT. Ostrzegł, że płacenie okupu nie może być strategią odzyskiwania – przytoczył przykłady z operacji Cronos, gdzie dane ofiar pozostały w infrastrukturze przestępców mimo zapłaty. Horne zwrócił uwagę na rosnącą falę podatności („patch wave”) napędzaną przez AI, którą atakujący wykorzystują szybciej, niż obrońcy są w stanie łatać luki. Podczas konferencji CyberUK podkreślił, że cyberbezpieczeństwo nie może być tylko zadaniem działów IT – zarządy muszą aktywnie zarządzać ryzykiem. Wspomniał także o wypaleniu zawodowym wśród specjalistów ds. bezpieczeństwa oraz o kluczowej roli współpracy publiczno-prywatnej w wymianie informacji o zagrożeniach. Horne zachęcił do tworzenia wieloletnich planów cyberbezpieczeństwa i utrzymania finansowania zabezpieczeń w cyklach budżetowych.

Ransomware Preparedness Must Be a Boardroom Priority: NCSC Chief →