Csak egyetlen nyomozói ablak
A történet főszereplője egy szervezet, mely csak az incidens után, október 11-én telepítette gépeire a Huntress védelmi ügynökét, ráadásul kezdetben csak egyetlen gépen. Ez azt jelentette, hogy semmilyen korábbi naplófájl, hálózati telemetria vagy zsarolóvírus-csapda nem állt rendelkezésre. Az egyetlen kapaszkodót az antivírus-riasztások jelentették, amelyek utólag érkeztek meg a rendszerbe.
Az elemzők ezután a Windows eseménynaplóihoz fordultak: ezekből kiderült, hogy 2025. október 8-án a rosszindulatú fél hozzáférést szerzett a szóban forgó géphez, majd telepítette a Total Software Deployment Service szolgáltatást, valamint egy trükkös, hamis ScreenConnect távmenedzsment-klienst, amely a 94.156.232.40 IP-címre mutatott.
Külön figyelmet érdemel, hogy a LogMeIn alkalmazást hivatalosan még augusztus 20-án telepítették, tehát a támadó tudatosan bújt egy ismert szoftver köntösébe: október 8-án a rogue ScreenConnect klienst LogmeinClient.msi néven juttatták a rendszerbe, ezzel is elkerülve a gyanút.
Hamis programok, sikertelen kísérletek
Ami ezután jött, arra senki sem számított: három új fájl jelent meg a gépen 2025. október 11-én, közvetlenül a hamis ScreenConnect kliens használatát követően: r.ps1, s.exe és ss.exe. Ezek közül csak az r.ps1 script maradt fenn, melynek vizsgálata során kiderült, hogy a támadó a géphez csatlakozó RDP (távoli asztali kapcsolat) felhasználókat, címeket és domaineket akarta feltérképezni.
Azonban a Windows eseménynaplója arról tanúskodott, hogy a script futtatását az operációs rendszer megakadályozta, mivel a rendszer blokkolta a PowerShell-szkriptek futtatását. Ez gyakorlatilag leleplezte és blokkolta a támadó első próbálkozását.
A másik két fájl ennél trükkösebbnek bizonyult: maguk a programok már nem voltak megtalálhatók, de a Windows AmCache.hve és a PCA-naplók töredékei alapján sikerült rekonstruálni azok hash-eit, és kiderült, hogy mindkét futtatási kísérlet kudarcba fulladt. Külön érdekesség, hogy a támadó előbb letiltotta a Windows Defender valós idejű védelmét, majd megpróbálta telepíteni és futtatni ezeket az állományokat. Az s.exe fájl a VirusTotal szerint komoly kockázatot rejtett, de a telepítőalkalmazás hibáján bukott el. Alig hét másodperccel később pedig az ss.exe program következett, amelynek indítási kísérletét rögtön a Windows hibakezelője (werfault.exe) követte – a naplófájlok gyakorlatilag azonnali ütközésről és futásképtelenségről árulkodnak.
Zsarolóüzenet: a Qilin-csoport védjegye
Amikor a támadó tanácstalanná vált, visszakapcsolta a Windows Defendert, majd néhány perccel később távolról ismét belépett a rendszerbe, és megpróbált zsarolóüzenetet elhelyezni – ez azonban már a Defender magától felismerte, viszont a helyreállítási kísérlet nem járt sikerrel. Végül egy rövid és fenyegető Qilin váltságdíjüzenet maradt hátra: a csoport jól ismert ransomware-as-a-service (RaaS) rendszerének egyik példányát sikerült azonosítani, amelyet különböző támadócsoportok is frissítenek saját módszerekkel.
Külön figyelmet érdemel, hogy a legtöbb Qilin-incidens esetén a támadók távoli asztali kapcsolaton keresztül lépnek be, hasonló titkosított állományokkal és zsarolóüzenetekkel (ransom note-okkal), de ritka, hogy ilyen nyomokat hagynak maguk mögött. Ezúttal a támadó peches volt: a rendszergazda és a naplóállományok szinte mindent feltártak.
A siker záloga: több szempontú vizsgálat
A teljes incidens során súlyos gondot okozott, hogy menet közben, tehát az esemény után telepítették a Huntress védelmi rendszerét. Nem volt elérhető EDR- vagy SIEM-adat, nem működtek a ransomware-csapdák; a szakértőknek több, elszórt forrásból, mozaikszerűen kellett összerakniuk a történteket.
Mindezek ellenére, bár az elemzőknek egyetlen gépre korlátozódott a rálátásuk, a különféle naplók, antivírus-figyelmeztetések, valamint a Windows belső adatai alapján a támadás minden lépése feltárult – a trükkösen bejuttatott programoktól az elbukott próbálkozásokon át egészen a végső zsarolóüzenetig (ransom note).
Ez az eset tökéletesen bizonyítja, mennyivel pontosabb képet kaphatunk a támadó szándékairól és módszereiről, ha több forrást is elemzünk, nem pedig az első furcsa fájl láttán mondunk ítéletet. Az ilyen hozzáállás segít abban is, hogy hatékonyabban válaszoljunk, kizárjuk a vakvágányokat, és pontosabb vállalati döntéseket hozzunk a jövőben.
Legfontosabb indikátorok
– 63bbb3bfea4e2eea: Hamis ScreenConnect-példány azonosítója
– af9925161d84ef49e8fbbb08c3d276b49d391fd997d272fe1bf81f8c0b200ba1: s.exe hash
– ba79cdbcbd832a0b1c16928c9e8211781bf536cc: ss.exe hash
– README-RECOVER-.txt: Zsarolólevél
