Analiza Ransomware Benzona 2026: Jak Działa i Jak Się Bronić?

CyberLord Blue Team

Analiza Ransomware Benzona 2026: Jak Działa i Jak Się Bronić?

W krajobrazie zagrożeń roku 2026 pojawił się nowy gracz: Benzona. Działając w modelu RaaS (Ransomware-as-a-Service), grupa ta celuje w średnie firmy w Europie Środkowej, w tym coraz częściej w Polsce.

W przeciwieństwie do "masowych" ataków, Benzona działa chirurgicznie. Ich czas przebywania w sieci (Dwell Time) wynosi średnio 14 dni przed zaszyfrowaniem danych, co daje im czas na kradzież (exfiltrację) wrażliwych plików.

Oto techniczna analiza szczepu Benzona przygotowana przez zespół Cyberlord Blue Team, wraz z zaleceniami obronnymi.

Łańcuch Ataku (Cyber Kill Chain)

1. Dostęp Początkowy (Initial Access)

Benzona rzadko używa zaawansowanych exploitów 0-day. Zamiast tego polega na:

  • Wykradzionych poświadczeniach RDP: Kupowanych na forach darknetowych (Access Brokers).
  • Phishingu: Maile z załącznikami spakowanymi w .iso lub .one (OneNote), omijające filtry pocztowe.
  • VPN bez MFA: Wykorzystywanie starych kont VPN (Fortinet/Pulse Secure), które nie mają włączonego uwierzytelniania dwuskładnikowego.

2. Rekonesans i Ruch Boczny

Po wejściu do sieci, atakujący używają narzędzi "Dual-Use" (narzędzia administratora użyte w złym celu), aby "żyć w terenie" (Living off the Land):

  • Advanced IP Scanner: Do mapowania sieci lokalnej.
  • Mimikatz / Rubeus: Do kradzieży haseł z pamięci (LSASS) i eskalacji uprawnień do Administratora Domeny.
  • Cobalt Strike: Jako framework C2 (Command & Control).

3. Eksfiltracja Danych (Podwójne Wymuszenie)

Zanim jakikolwiek plik zostanie zaszyfrowany, Benzona kradnie dane. Używają narzędzia Rclone (często ze zmienioną nazwą na svchost.exe), aby wysłać gigabajty danych do chmury MEGA lub pCloud. To ich "polisa ubezpieczeniowa". Nawet jeśli masz backupy i odzyskasz dane, zagrożą ich ujawnieniem (RODO).

4. Szyfrowanie (Impact)

Dopiero na końcu następuje szyfrowanie. Benzona wykorzystuje wielowątkowe szyfrowanie (ChaCha20 + RSA-4096).

  • Rozszerzenie plików: .benzona
  • Notatka z okupem: !README_BENZONA!.txt na pulpicie każdego serwera.
  • Cechy szczególne: Szyfruje również pliki na dyskach sieciowych (SMB) oraz próbuje usunąć kopie woluminów w tle (Volume Shadow Copies) komendą: vssadmin.exe Delete Shadows /All /Quiet.

Wskaźniki Kompromitacji (IoC)

Dla administratorów IT i zespołów SOC, oto co warto sprawdzić w logach (SIEM):

  • Hashe SHA256 (Próbka): a1b2c3d4e5f6... (przykładowy hash)
  • Domeny C2: update-microsoft-cloud[.]com support-desk-portal[.]net
  • Wzorce zachowań:
    • Wykrycie narzędzia Rclone lub AnyDesk, którego TI nie instalowało.
    • Masowe logowania na konto Administratora w nietypowych godzinach (np. 3:00 rano).

Co Robić w Razie Ataku? (Playbook Reagowania)

Jeśli zobaczysz ekran z żądaniem okupu, nie panikuj. Każda minuta się liczy.

1. Izolacja (Odłącz Kable)

Natychmiast odłącz zainfekowane maszyny od sieci (LAN i Wi-Fi). Jeśli atak trwa (widzisz zmieniające się rozszerzenia plików), wyłączenie serwera "na twardo" (z prądu) może uratować część danych, choć ryzykujesz uszkodzenie bazy SQL.

2. Zachowaj Dowody (Forensics)

Nie przeinstalowuj systemu od razu!

  • Zrób obraz dysku i zrzut pamięci RAM.
  • Firmy ubezpieczeniowe (Cyber Insurance) mogą odmówić wypłaty, jeśli zniszczysz dowody włamania.

3. Zgłoszenie RODO (72h)

W Polsce masz obowiązek zgłosić naruszenie ochrony danych do Prezesa UODO w ciągu 72 godzin od stwierdzenia naruszenia, jeśli wyciekły dane osobowe (a przy Benzona na 99% wyciekły).

4. Decyzja: Płacić czy Nie Płacić?

Jako firma Cyberlord odradzamy płacenie. Dlaczego?

  1. Brak Gwarancji: 20% firm, które płacą, nigdy nie dostaje deszyfratora.
  2. Podwójna Płatność: Często po zapłaceniu "za odszyfrowanie", hakerzy żądają drugiej wpłaty "za niepublikowanie danych".
  3. Sankcje: Płacenie organizacjom objętym sankcjami (np. z Rosji) może być nielegalne (OFAC/UE).

Jedyne wyjątki to sytuacje "życia i śmierci" (szpitale) lub całkowita utrata firmy. Wtedy negocjacje powinni prowadzić profesjonalni negocjatorzy, a nie dział IT.

Jak Ochronić Firmę przed Benzona?

Ransomware to nie magia, to biznes. Utrudnij im pracę, a pójdą gdzie indziej.

  1. Backupyz 3-2-1: Przechowuj jedną kopię danych Offline (Immutable Backup). Jeśli ransomware nie może dosięgnąć backupu, nie może Cię szantażować.
  2. MFA Wszędzie: Włącz uwierzytelnianie dwuskładnikowe na VPN, poczcie i dostępie do serwerów. To zatrzymuje 90% ataków na etapie wejścia.
  3. EDR (Endpoint Detection & Response): Stary antywirus nie wystarczy. EDR (taki jak CrowdStrike czy SentinelOne) wykryje zachowanie (np. masowe szyfrowanie) i zablokuje proces, nawet jeśli nie zna sygnatury wirusa.
  4. Audyt Bezpieczeństwa: Raz w roku zamów testy penetracyjne, aby znaleźć dziury, zanim zrobią to przestępcy.

Potrzebujesz Pomocy?

Jeśli padłeś ofiarą ataku ransomware, skontaktuj się z naszym zespołem Incident Response (24/7). Pomożemy w negocjacjach, analizie śledczej i przywróceniu systemów.

Wezwij Pomoc KryzysowÄ…

Przegląd

Kluczowe decyzje, ryzyka i działania wdrożeniowe dla tego tematu.

Powiązane zasoby