Security
FulcrumSec żąda 25 mln dolarów od Novo Nordisk, Rokarolla atakuje banki
FulcrumSec grozi sprzedażą danych Novo Nordisk, nowy trojan Rokarolla celuje w 217 aplikacji, a Google zaostrza sideloading.
FulcrumSec włamuje się do Novo Nordisk, żąda 25 mln dolarów okupu
Grupa cyberprzestępcza FulcrumSec przyznała się 16 czerwca 2026 roku do włamania na systemy wewnętrzne Novo Nordisk – duńskiego producenta leków Wegovy i Ozempic. Napastnicy skradli ponad jeden terabajt danych, w tym odidentyfikowane dane pacjentów z badań klinicznych (rok urodzenia, biomarkery, styl życia), poufne informacje o lekach oraz dokumenty wewnętrzne. Firma potwierdziła naruszenie 11–12 czerwca, a żądanie okupu wynosi 25 mln dolarów. Nie zapłacono go; FulcrumSec grozi teraz prywatną sprzedażą danych, w tym materiałów dotyczących konkretnych leków. Niezależny aktor zażądał dodatkowo 50 mln dolarów w związku z tym samym atakiem. Novo Nordisk współpracuje z ekspertami ds. cyberbezpieczeństwa i organami ścigania. Firma podlega RODO, które przewiduje kary do 4% globalnego rocznego przychodu za naruszenia ochrony danych. FulcrumSec pojawił się po raz pierwszy w październiku 2025 roku i stosuje model podwójnego wymuszenia – kradzież danych bez szyfrowania, a następnie groźba publikacji. Odmowa zapłaty zwiększa ryzyko wycieku, ale jest zgodna z zaleceniami ekspertów.
Hacking group claims major hack of Novo Nordisk, seeks $25M ransom →
Trojan Rokarolla przejmuje kontrolę nad smartfonem i kradnie dane z 217 aplikacji bankowych
Zimperium zLabs udokumentowało nowego trojana bankowego Rokarolla, nazwanego od infrastruktury C2. Złośliwe oprogramowanie atakuje 217 aplikacji bankowych i kryptowalutowych oraz posiada 137 zdalnych komend, dając operatorowi niemal pełną kontrolę nad zainfekowanym telefonem. Rokarolla kradnie PIN ekranu blokady, czyta i wysyła SMS-y, przepisuje schowek w celu przekierowania płatności kryptowalutowych oraz wyłącza Google Play Protect. Rozprzestrzenia się przez fałszywe strony udające popularne aplikacje, takie jak TikTok czy Chrome. Początkowy dropper podszywa się pod Google Play Protect, a następnie instaluje właściwe ładunki i uzyskuje dostęp do ułatwień dostępu. Nakładki HTML na legalne aplikacje przechwytują dane kart i loginy, a osobna nakładka na ekran blokady wykrada PIN. Trojan przechwytuje SMS-y z kodami autoryzacyjnymi i blokuje połączenia przychodzące, by uniemożliwić powiadomienia o oszustwie. Keylogger i screen logger rejestrują dane wejściowe i zawartość ekranu, a schowek jest podmieniany na adresy portfeli atakującego. Rokarolla wykonuje zrzuty ekranu przez Accessibility (bez widocznego monitu) i eksfiltruje je jako PNG. Liczba 137 komend przewyższa 107 odnotowanych w trojanie HOOK. Zimperium nie przypisało trojana konkretnej grupie. Nie ma łatki – to złośliwe oprogramowanie, nie podatność. Zaleca się instalowanie aplikacji tylko z Google Play, pozostawienie włączonego Play Protect i traktowanie każdej nieoczekiwanej prośby o dostęp do ułatwień dostępu jako czerwonej flagi.
Twórca loadera Conti przyznaje się do winy w sprawie Operation Riptide o wartości 150 mln dolarów
Oleksij Ołeksijowycz Łytwynenko, 44-letni Ukrainiec, przyznał się 10 czerwca 2026 roku w federalnym sądzie w Tennessee do spisku w celu popełnienia oszustwa telekomunikacyjnego w związku z operacją ransomware Conti. Departament Sprawiedliwości USA poinformował, że Conti zebrał co najmniej 150 mln dolarów okupu z ponad 1000 zaatakowanych sieci w 47 stanach USA i 31 krajach. Łytwynenko kodował loadera – pierwsze stadium złośliwego oprogramowania dostarczającego narzędzia takie jak Cobalt Strike przed wdrożeniem ransomware. Dołączył do spisku nie później niż we wrześniu 2021 roku. Przyznał się do posiadania skradzionych danych ośmiu ofiar w USA i czterech za granicą. Wraz ze wspólnikami wyłudził około 634 000 dolarów w Bitcoinie od dwóch ofiar w Tennessee, w tym od jednostki rządowej. Gdy trzecia ofiara odmówiła zapłaty 3 mln dolarów, opublikowano jej dane. Łytwynenko został aresztowany w Irlandii w lipcu 2023 roku, rzekomo śpiący z otwartym laptopem uruchamiającym Cobalt Strike. Do USA przekazano go w październiku 2025 roku. Wyrok zaplanowano na 10 września 2026 roku; grozi mu do 20 lat więzienia. Sprawa jest częścią Operation Riptide – kampanii ogłoszonej 9 czerwca 2026 roku, która obejmuje również przejęcie First VPN Service. Conti rozpadł się w maju 2022 roku, ale jego personel i narzędzia trafiły do grup sukcesyjnych, takich jak Black Basta, Akira i SafePay.
Conti Ransomware Loader Developer Pleads Guilty in $150M Operation Riptide Case →
ShinyHunters publikuje 45 GB danych Madison Square Garden i Knicks po niedotrzymaniu terminu okupu
Grupa ShinyHunters opublikowała 45 GB skradzionych plików po tym, jak MSG Sports nie zapłacił okupu do 15 czerwca 2026 roku. Grupa twierdzi, że przejęto ponad 26 milionów rekordów klientów i firm. Próbka przejrzana przez 404 Media zawierała e-maile klientów do MSG, odpowiedzi MSG oraz wewnętrzne pliki „Talent” z danymi znanych osób, w tym adresami, „kosztem talentu”, poziomem ryzyka i danymi kontaktowymi. W przejrzanej części Ben Stiller oznaczony jako „Low Risk”, a raper A Boogie wit da Hoodie jako „High Risk” – bez podanych kryteriów. Jeden z e-maili dotyczył mężczyzny obawiającego się, że zostanie oznaczony przez system rozpoznawania twarzy MSG. Nie potwierdzono, czy dane zawierają numery kart płatniczych lub SSN. MSG używa rozpoznawania twarzy na swoich obiektach. Dump trafił na dark-webowy blog ShinyHunters podczas finałów NBA. Cybernews stwierdził, że roszczenia ShinyHunters są „zazwyczaj wiarygodne”, a próbka potwierdza autentyczność wycieku. MSG nie wydało publicznego oświadczenia. Klienci narażeni są na phishing i nękanie, a osoby publiczne wymienione w plikach talentów na fizyczne zagrożenia bezpieczeństwa.
Hackers Just Published Knicks and Madison Square Garden Data →
Ponad 1500 pakietów w Arch User Repository przejętych przez atakujących bez włamania
Atakujący wykorzystali porzucone pakiety w Arch User Repository (AUR), przejmując ponad 1500 pakietów bez naruszania żadnego systemu. Kampania nazwana „Atomic Arch” przez firmę Sonatype polegała na adopcji pakietów, których opiekunowie je porzucili – atakujący odziedziczyli ich nazwy i zaufanie. Sfałszowali dane commitów git, aby zmiany wyglądały na pochodzące od długoletniego opiekuna; konto nigdy nie było przejęte. Zmieniono tylko skrypt budowania, który pobierał złośliwy pakiet npm atomic-lockfile. Jego instalator uruchamiał ukryty binarny plik w czasie budowania. Ładunkiem był binarny plik Rust, który zbierał ciasteczka przeglądarki, tokeny sesji, dane logowania Slack, Discord, Microsoft Teams, tokeny GitHub i npm, dane HashiCorp Vault i OpenAI, klucze SSH, loginy Docker i profile VPN. Dane eksfiltrowano przez Tor. Opcjonalny komponent eBPF ukrywał malware i blokował debugery, ale nie był używany do uzyskania dostępu. Jeśli zainfekowany pakiet działał z uprawnieniami roota, konieczna była reinstalacja systemu. Główne repozytoria Arch i oficjalna dystrybucja nie zostały dotknięte. Do poniedziałku projekt zamroził rejestrację nowych kont. Około 13 000 porzuconych pakietów pozostaje w AUR, co stanowi dużą powierzchnię ataku. Arch zaleca użytkownikom czytanie skryptów przed budowaniem i podejrzliwe traktowanie niedawno adoptowanych pakietów.
SearchLeak: Łańcuch podatności w Microsoft 365 Copilot umożliwia jednoklikową eksfiltrację danych
Varonis Threat Labs odkryło trzyetapowy łańcuch podatności SearchLeak, który przekształca Microsoft 365 Copilot Enterprise Search w narzędzie do eksfiltracji danych. Łańcuch łączy Parameter-to-Prompt Injection (P2P), wyścig w renderowaniu HTML oraz SSRF przez Bing. Microsoft przypisał CVE-2026-42824 z krytyczną oceną i załatał podatność. Atak nie wymaga wtyczek, specjalnych uprawnień ani drugiego kliknięcia. Ofiara otrzymuje link do zaufanej domeny microsoft.com z spreparowanym parametrem q, który Copilot interpretuje jako instrukcje. Następnie Copilot przeszukuje skrzynkę odbiorczą, kalendarz, SharePoint i OneDrive ofiary, a eksfiltrowane dane osadza w adresie URL obrazu podczas strumieniowania. Przeglądarka renderuje znacznik zanim Copilot zamknie dane w blokach
, tworząc wyścig. Żądanie obrazu trafia do Bing searchbyimage, które jest dozwolone w CSP, a Bing wysyła dane na serwer atakującego. Zasięg obejmuje tematy i treści e-maili (często kody zabezpieczeń, OTP, linki do resetowania haseł), szczegóły spotkań i notatki oraz prywatne pliki organizacyjne (raporty finansowe, dane płacowe, plany przejęć). Atakujący dziedziczy pełne uprawnienia grafu ofiary bez uwierzytelniania. Varonis zaleca monitorowanie adresów URL Copilot Search pod kątem zakodowanych ładunków, przeglądanie list CSP i traktowanie wyjścia AI podczas renderowania jako niezaufanego.
SearchLeak: How We Turned M365 Copilot Into a One-Click Data Exfiltration Weapon →
Google zaostrza sideloading na Androidzie – 24-godzinny okres oczekiwania i biometria
Google wprowadza zmiany w sideloadingu na Androidzie, powołując się na zagrożenia bezpieczeństwa. Analiza firmy wykazała, że sideloading jest odpowiedzialny za „50 razy więcej malware z internetowych źródeł niż aplikacje dostępne przez Google Play”. Nowy proces, nazwany Advanced Flow, będzie dotyczył sideloadingu aplikacji od niezweryfikowanych deweloperów. Użytkownicy będą musieli: włączyć tryb dewelopera poprzez stuknięcie numeru kompilacji siedem razy w ustawieniach O telefonie; potwierdzić, że nikt nie instruuje ich, by wyłączyć zabezpieczenia; zrestartować telefon i ponownie się uwierzytelnić; odczekać obowiązkowy 24-godzinny okres ochłonięcia; a następnie użyć uwierzytelniania biometrycznego (odcisk palca lub rozpoznawanie twarzy) lub PIN-u urządzenia, aby kontynuować instalację. Po tym użytkownicy mogą włączyć to podejście na siedem dni lub zezwolić na stałe. Advanced Flow nie będzie częścią otwartoźródłowego Androida, ale zastrzeżonej platformy Google Play Services. Sideloading od zweryfikowanych deweloperów oraz deweloperów z ograniczoną dystrybucją (do 20 urządzeń) pozostanie bez zmian. Zmiany dotyczą „aplikacji w wybranych regionach” od września 2026 roku.
Google’s big Android sideloading crackdown has a 24-hour catch - how the new limits work →
Blisko terminu aktualizacji kluczy Secure Boot – wygasają 24 czerwca
Trzy certyfikaty używane w Secure Boot wygasną 24 czerwca. Certyfikaty podpisane przez Microsoft weryfikują kryptograficznie firmware i oprogramowanie ładowane podczas uruchamiania systemu. Secure Boot ma zapobiegać bootkitom – złośliwemu oprogramowaniu uruchamiającemu się przed systemem operacyjnym. Wygasające certyfikaty pochodzą z 2011 roku; zastąpią je certyfikaty z 2023 roku. Wymiana adresuje ryzyka związane z LogoFail – serią krytycznych podatności z 2023 roku, które dotknęły firmware UEFI prawie wszystkich systemów Windows i Linux, umożliwiając ominięcie Secure Boot. Microsoft aktualizuje maszyny z Windows 10 i 11. Dystrybutorzy Linuksa aktualizują shimy – małe bootloadery UEFI łączące klucze Secure Boot z bootloaderami Linuksa. Komputery, które nie otrzymają zaktualizowanych kluczy, będą działać, ale nie będą chronione przed nowymi zagrożeniami UEFI. Na Windowsie można sprawdzić stan w Windows Security → Device Security → Secure Boot; zielony znacznik oznacza aktualizację. Większość maszyn Windows aktualizuje się automatycznie podczas comiesięcznych poprawek, ale starsze mogą wymagać ręcznej interwencji. Użytkownicy Linuksa powinni śledzić wydanie nowych shimów. Zaleca się unikanie instalowania aktualizacji firmware płyty głównej do czasu wymiany certyfikatów.
Windows and Linux users: The deadline to update Secure Boot keys is near →
AI TIAA wykrył próbę wyłudzenia 3 mln dolarów od 76-letniego emeryta – interwencja człowieka zapobiegła katastrofie
System AI firmy TIAA oznaczył nietypowe żądanie 76-letniego klienta, który próbował wypłacić całe swoje 3-milionowe portfolio emerytalne. Emeryt był celem oszusta, ale sztuczna inteligencja TIAA pierwsza zauważyła coś niepokojącego, poinformowała dyrektor generalna Thasunda Brown Duckett. Menedżer portfela eskalował nietypową wypłatę do zespołu ds. oszustw, który spędził godziny, próbując przekonać klienta, że jest oszukiwany. „Najpierw nie chcesz uwierzyć, że zostałeś oszukany. Zostałeś prawie wytrenowany, by bronić oszustwa” – powiedziała Duckett. Ostatecznie specjalista ds. oszustw skontaktował się z córką mężczyzny, a TIAA zatrzymała transfer. Klient powiedział TIAA: „Uratowaliście mi tyłek”. Duckett podkreśliła, że przypadek pokazuje potrzebę współpracy ludzi i technologii: „To było skrzyżowanie miejsca pracy, naszej kultury i AI. AI samo w sobie niekoniecznie by tej osoby ochronić. Człowiek jest nie tylko w pętli, ale wciąż chodzi o ludzi. To nie tylko pętla – to cała autostrada.”