01flip Ransomware: Nowe, wieloplatformowe zagrożenie w Rust celujące w infrastrukturę krytyczną

01flip Ransomware: Nowe, wieloplatformowe zagrożenie w Rust celujące w infrastrukturę krytyczną

W dynamicznym świecie cyberbezpieczeństwa nie ma miejsca na stagnację. Każdego dnia pojawiają się nowe zagrożenia, które zmuszają organizacje do ciągłej ewolucji swoich strategii obronnych. Niedawno na horyzoncie pojawił się nowy, niepokojący gracz: 01flip ransomware. To zaawansowane, wieloplatformowe oprogramowanie szantażujące, napisane w języku Rust, które już teraz demonstruje swoje zdolności, celując w organizacje z sektora infrastruktury krytycznej. Jego pojawienie się jest sygnałem dla liderów biznesu i menedżerów IT, że zagrożenia stają się coraz bardziej wyrafinowane i trudniejsze do wykrycia.

Odkrycie i chronologia ataków: Narodziny nowego zagrożenia

Każde nowe złośliwe oprogramowanie ma swój początek, a historia 01flip zaczęła być dokumentowana w czerwcu 2025 roku. Wtedy to analitycy z Palo Alto Networks Unit 42 opublikowali pierwszą publiczną, szczegółową analizę tej nowej rodziny ransomware. Działania związane z 01flip są śledzone w ramach klastra o nazwie CL-CRI-1036, który według Unit 42 jest grupą o motywacji czysto finansowej.

Geografia i profil ofiar:

Na obecnym, wczesnym etapie rozwoju kampanii, ofiary 01flip koncentrują się głównie w regionie Azji i Pacyfiku, ze szczególnym uwzględnieniem Azji Południowo-Wschodniej. Potwierdzają to zarówno analizy techniczne, jak i posty w dark webie, w których napastnicy wspominali o ofiarach z Tajwanu i Filipin.

Co szczególnie alarmujące, Unit 42 potwierdza, że wśród zaatakowanych podmiotów znajdują się organizacje odpowiedzialne za infrastrukturę krytyczną. To wyraźny sygnał, że operatorzy 01flip nie boją się celować w kluczowe dla funkcjonowania państw i społeczeństw sektory, co podnosi stawkę i potencjalne skutki udanego ataku.

Skala i dojrzałość:

Chociaż w momencie publikacji raportu zaobserwowano jedynie minimalną liczbę ofiar, analitycy charakteryzują kampanię CL-CRI-1036 jako będącą na wczesnym etapie wdrażania. Nie należy tego jednak lekceważyć. Techniczne zaawansowanie oprogramowania, w połączeniu z jego niską wykrywalnością przez oprogramowanie antywirusowe (AV), stwarza ryzyko szybkiej ekspansji na inne regiony i sektory. To cisza przed burzą, na którą należy się przygotować.

Aktorzy zagrożenia i ich motywacje

Za każdym atakiem stoją ludzie, a zrozumienie ich motywacji i sposobu działania jest kluczowe dla skutecznej obrony.

Motywacja finansowa:

Nie ma wątpliwości, że motywacją grupy CL-CRI-1036 jest zysk finansowy. Jest to typowe dla większości operacji ransomware, gdzie celem jest wymuszenie okupu w zamian za przywrócenie dostępu do zaszyfrowanych danych.

Sposób działania: “Hands-on-keyboard”

Ataki z użyciem 01flip nie są zautomatyzowanymi, masowymi kampaniami. Wręcz przeciwnie, charakteryzują się one manualnymi, interaktywnymi operacjami, znanymi jako “hands-on-keyboard”. Oznacza to, że po uzyskaniu wstępnego dostępu do sieci ofiary, atakujący aktywnie w niej działają:

• Przeprowadzają ukierunkowane próby eksploitacji kolejnych systemów.
• Wykonują ruch boczny (lateral movement), aby rozprzestrzenić swoją obecność.
• Prowadzą rekonesans i dokonują zrzutów poświadczeń (credential dumping), aby zdobyć uprawnienia i zmapować sieć przed finalnym uderzeniem.

Taki modus operandi wskazuje na cierpliwych i wykwalifikowanych operatorów, a nie na przypadkowych cyberprzestępców.

Osobowość w dark webie i model podwójnego wymuszenia:

Na forach w dark webie pojawił się aktor groźby, który oferuje na sprzedaż dane rzekomo skradzione od jednej z potwierdzonych ofiar 01flip. Konto tego użytkownika zostało zarejestrowane w kwietniu 2023 roku, ale jego aktywność gwałtownie wzrosła w czerwcu 2025 roku. Co ciekawe, rosyjskojęzyczny użytkownik o tej samej nazwie sprzedaje dane i dostępy do sieci na znanym forum przestępczym XSS już od 2020 roku.

To prowadzi nas do ważnego niuansu technicznego. Analiza samego oprogramowania 01flip wykazała, że nie posiada ono wbudowanej funkcji eksfiltracji danych. Jego jedynym zadaniem jest szyfrowanie plików. Oznacza to, że kradzież danych, która poprzedza szyfrowanie (strategia tzw. podwójnego wymuszenia), musi być realizowana za pomocą innych, oddzielnych narzędzi. Jedynym potwierdzonym na ten moment powiązaniem między sprzedawcą danych a operacją 01flip jest wspólna ofiara, co sugeruje, że ta sama grupa przestępcza (CL-CRI-1036) odpowiada za oba etapy ataku, używając do tego różnych komponentów swojego arsenału.

Anatomia ataku: Od wstępnego dostępu do wdrożenia

Łańcuch ataku (kill chain) 01flip jest wieloetapowy i pokazuje metodyczne podejście napastników.

Etap 1: Wstępny dostęp

Jak atakujący dostają się do środka? Unit 42 zaobserwowało, że począwszy od początku kwietnia 2025 roku, grupa podejmowała wielokrotne próby wykorzystania starszych podatności w aplikacjach wystawionych na widok publiczny w Internecie.

• Wektor ataku: Szczególną uwagę zwrócono na próby eksploitacji CVE-2019-11580, podatności w oprogramowaniu Atlassian Crowd lub pokrewnych produktach Atlassian.
• Zgłoszenie ofiary: Jedna z rzekomych ofiar zgłosiła, że atakujący skompromitowali jej serwer Zimbra, popularne rozwiązanie poczty korporacyjnej, co było bezpośrednio powiązane z późniejszą infekcją 01flip.

Mimo tych poszlak, śledztwo nie było w stanie ostatecznie ustalić, która konkretna podatność lub działanie doprowadziło do pomyślnego uzyskania wstępnego dostępu. Podkreśla to znaczenie proaktywnego zarządzania podatnościami i zabezpieczania wszystkich usług brzegowych.

Etap 2: Działania po eksploitacji i ruch boczny

Po zdobyciu przyczółka w sieci ofiary, napastnicy przechodzą do fazy ugruntowania swojej pozycji i rozprzestrzeniania się.

• Narzędzia C2: Atakujący wdrożyli linuksową wersję Sliver, publicznie dostępnego, wieloplatformowego frameworka do emulacji przeciwnika i zdalnego zarządzania (C2), napisanego w języku Go.
• Ruch boczny: Na innym serwerze Linux wykorzystali implant Sliver typu TCP Pivot, aby umożliwić sobie dalszy ruch boczny wewnątrz sieci.

Na podstawie możliwości frameworka Sliver i obserwowanego zachowania, Unit 42 wnioskuje, że działania po eksploitacji najprawdopodobniej obejmowały: rekonesans sieci, zrzuty poświadczeń, eskalację uprawnień oraz ruch boczny do kolejnych maszyn z systemami Windows i Linux, przygotowując grunt pod masowe wdrożenie ransomware.

Etap 3: Wdrożenie ransomware

Finał nastąpił pod koniec maja 2025 roku. Wtedy to atakujący wdrożyli wiele instancji ransomware 01flip w całej sieci ofiary, uderzając jednocześnie w systemy Windows i Linux.

Dokładny mechanizm wdrożenia (np. PSExec, zaplanowane zadania, niestandardowe skrypty) pozostaje nieznany. Jednak analitycy uważają za wysoce prawdopodobne, że to właśnie framework Sliver posłużył jako narzędzie do orkiestracji i masowej dystrybucji ładunku szyfrującego na wszystkie skompromitowane wcześniej hosty.

Architektura i wieloplatformowość: Dlaczego Rust to broń obosieczna

Wybór technologii przez twórców złośliwego oprogramowania ma ogromne znaczenie. W przypadku 01flip, kluczową decyzją było użycie języka Rust.

Napisany w Rust – co to oznacza?

• Język: 01flip jest zaimplementowany w całości w języku Rust.
• Wieloplatformowość: Potwierdzono wsparcie dla systemów Windows i Linux. Ta wszechstronność jest osiągana dzięki wykorzystaniu funkcji kompilacji krzyżowej (cross-compilation) w Rust, co pozwala operatorom na tworzenie natywnych plików wykonywalnych dla każdej docelowej platformy z jednej bazy kodu.
• Komplikacje dla analityków: Kompilator Rusta często generuje bardziej złożony kod maszynowy (assembly) w porównaniu do tradycyjnych kompilatorów C/C++. To znacząco komplikuje inżynierię wsteczną i analizę statyczną, utrudniając pracę analitykom bezpieczeństwa.
• Ukrywanie danych: Większość ciągów znaków zdefiniowanych przez użytkownika (tekst noty z okupem, listy rozszerzeń, klucze RSA itp.) jest przechowywana w postaci zakodowanej i dekodowana dopiero w czasie wykonywania programu. To dodatkowo utrudnia analizę i tworzenie sygnatur detekcyjnych.

Unikanie detekcji na różnych platformach

Skuteczność tych technik jest widoczna w praktyce. Próbka 01flip dla systemu Linux, przesłana do serwisu VirusTotal, wykazywała zerową wykrywalność przez co najmniej trzy miesiące od momentu jej przesłania. To dowód na to, jak słabe jest pokrycie sygnaturowe dla nowego złośliwego oprogramowania w Rust, zwłaszcza w środowiskach niszowych, jakimi wciąż są serwery Linux.

Oba warianty – dla Windows i Linux – są opisywane jako “niskoszumowe” (low-noise). Oznacza to, że starają się wtopić w normalne zachowanie systemu operacyjnego, wykorzystując niskopoziomowe wywołania systemowe i API zamiast rzucających się w oczy narzędzi.

Kluczowe funkcjonalności ransomware 01flip

Sednem działania 01flip jest, oczywiście, szyfrowanie. Proces ten jest realizowany w sposób metodyczny i dobrze zaimplementowany.

1. Przeszukiwanie systemu plików i wybór celów:

• W systemie Windows, oprogramowanie enumeruje wszystkie możliwe dyski od A: do Z:, aby zidentyfikować cele do zaszyfrowania.
• Następnie przechodzi przez wszystkie katalogi, do których ma uprawnienia zapisu. W każdym z nich tworzy notę z żądaniem okupu i identyfikuje pliki z docelowymi rozszerzeniami.
• 01flip posiada wbudowaną listę wykluczeń rozszerzeń (np. pliki systemowe lub wykonywalne), aby uniknąć “uceglenia” systemu i uniemożliwienia ofierze odczytania noty z okupem.

2. Nota z żądaniem okupu:

• W każdym zapisywalnym katalogu tworzony jest plik o nazwie `RECOVER-YOUR-FILE.TXT`.
• Nota zawiera dane kontaktowe (w analizowanych próbkach pojawia się adres e-mail `01Flip@proton.me`) oraz unikalne dane specyficzne dla ofiary, niezbędne do uzyskania klucza deszyfrującego.
• Podobnie jak inne ciągi znaków, szablon noty jest przechowywany w pliku binarnym w formie zakodowanej i dekodowany w locie za pomocą prostej operacji odejmowania (SUB) na co drugim bajcie danych.

3. Schemat zmiany nazw plików:

Każdy zaszyfrowany plik otrzymuje nową nazwę według schematu: [ORYGINALNA_NAZWA_PLIKU].[UNIKALNE_ID].[0 lub 1].01flip

• <UNIKALNE_ID> to identyfikator specyficzny dla pliku lub ofiary, ułatwiający atakującym zarządzanie kluczami.
• Element 0 lub 1 może być wewnętrzną flagą związaną z procesem szyfrowania.
• Rozszerzenie .01flip jest charakterystycznym znacznikiem tej rodziny ransomware, od którego badacze wzięli jej nazwę.

4. Schemat szyfrowania:

01flip wykorzystuje standardowy, ale solidny model kryptografii hybrydowej:

• AES-128-CBC: Używany do szyfrowania zawartości plików. Jest to szybki i bezpieczny algorytm symetryczny.
• RSA-2048: Używany do zaszyfrowania klucza sesji AES.

Przepływ pracy jest następujący: dla każdego pliku generowany jest losowy klucz sesji AES-128. Po zaszyfrowaniu pliku tym kluczem, sam klucz AES jest szyfrowany za pomocą publicznego klucza RSA-2048, który jest zaszyty w oprogramowaniu ransomware. Zaszyfrowany klucz AES jest dołączany do pliku. Oznacza to, że do odszyfrowania danych potrzebny jest prywatny klucz RSA, który posiadają wyłącznie atakujący. Taka implementacja, jeśli jest wykonana poprawnie, uniemożliwia odzyskanie danych bez udziału przestępców. Obecnie nie istnieje żaden publicznie dostępny darmowy deszyfrator dla 01flip.

5. Samousunięcie i zacieranie śladów:

Po zakończeniu procesu szyfrowania, 01flip usuwa sam siebie z systemu, próbując zredukować artefakty kryminalistyczne i utrudnić analizę poincydentalną.

Techniki unikania detekcji i antyanalizy

Poza wyborem języka Rust, 01flip stosuje kilka innych technik mających na celu uniknięcie wykrycia:

• Kodowanie ciągów znaków: Jak wspomniano, kluczowe dane, takie jak nota z okupem, adresy e-mail czy klucz RSA, są ukryte w pliku binarnym i dekodowane tylko w pamięci, co omija proste sygnatury statyczne.
• Sprawdzanie anty-sandbox: Niektóre próbki sprawdzają własną nazwę pliku. Jeśli zawiera ona ciąg znaków 01flip, oprogramowanie zakłada, że może być analizowane w środowisku sandbox (które często zmieniają nazwy plików na nazwy rodzin malware). W takim przypadku pomija szyfrowanie plików i przechodzi bezpośrednio do usuwania wskaźników swojej obecności.
• Wykorzystanie niskopoziomowych API: Używanie standardowych wywołań systemowych pomaga wtopić się w tło normalnej aktywności systemu, co utrudnia wykrywanie behawioralne.
• Niewykrywalność próbki Linux: Trzymiesięczny okres niewykrywalności na VirusTotal jest najlepszym dowodem skuteczności tych technik, zwłaszcza w środowiskach innych niż Windows.

01flip w kontekście globalnych trendów ransomware

Pojawienie się 01flip nie jest odosobnionym incydentem, ale wpisuje się w szersze trendy obserwowane w krajobrazie ransomware:

1. Adaptacja nowoczesnych języków programowania: Coraz więcej grup przestępczych sięga po języki takie jak Rust, Go czy Nim. Dają im one łatwość tworzenia kodu wieloplatformowego, wyższą wydajność i, co najważniejsze, znacznie utrudniają pracę analitykom bezpieczeństwa.
2. Celowanie w infrastrukturę krytyczną: Skupienie się na kluczowych sektorach w Azji Południowo-Wschodniej może być poligonem doświadczalnym przed ekspansją na inne, bardziej dochodowe rynki, takie jak Europa czy Ameryka Północna.
3. Niska, ale rosnąca widoczność: Choć 01flip nie jest jeszcze tak rozpoznawalny jak LockBit czy BlackCat, to już teraz pojawia się w codziennych raportach firm zajmujących się threat intelligence jako nowe, wschodzące zagrożenie, które należy uważnie monitorować.

Jak się bronić? Praktyczne rekomendacje dla Twojej organizacji

Analiza TTPs grupy CL-CRI-1036 pozwala na sformułowanie konkretnych zaleceń obronnych. Nie są to rewolucyjne koncepcje, ale raczej przypomnienie o fundamentalnych zasadach higieny cyfrowej, które w obliczu takich zagrożeń nabierają krytycznego znaczenia.

1. Zarządzanie podatnościami i utwardzanie usług: Atakujący wykorzystali stare podatności, takie jak CVE-2019-11580. Regularne skanowanie i priorytetowe łatanie podatności w usługach wystawionych do internetu (serwery webowe, pocztowe jak Zimbra, systemy Atlassian) jest absolutną podstawą.
2. Wykrywanie frameworków C2: Zespoły bezpieczeństwa powinny aktywnie monitorować sieć pod kątem obecności narzędzi takich jak Sliver. Wymaga to analizy ruchu sieciowego pod kątem nietypowych wzorców komunikacji i tunelowania (np. TCP Pivot).
3. Wieloplatformowe rozwiązania EDR/XDR: Konieczne jest posiadanie zaawansowanych rozwiązań ochrony punktów końcowych, które obejmują zarówno stacje robocze Windows, jak i serwery Linux. Ochrona ta musi opierać się na analizie behawioralnej, a nie tylko na sygnaturach, które w przypadku oprogramowania napisanego w Rust okazują się nieskuteczne.
4. Monitorowanie nietypowych operacji na plikach: Systemy monitoringu powinny generować alerty w przypadku masowego tworzenia plików o nazwie RECOVER-YOUR-FILE.TXT lub nagłej, masowej zmiany nazw plików na wzór kończący się na .01flip.
5. Niezmienne kopie zapasowe i plany odtwarzania: Kryptografia 01flip wydaje się solidna. Jedyną gwarancją odzyskania danych jest posiadanie kopii zapasowych offline lub niezmiennych (immutable) oraz regularne testowanie procedur ich odtwarzania. Płacenie okupu nigdy nie gwarantuje odzyskania danych.
6. Monitoring dark webu: Ponieważ kradzież danych odbywa się za pomocą oddzielnych narzędzi, warto monitorować fora przestępcze i rynki wycieków pod kątem wzmianek o Twojej organizacji, zwłaszcza po zaobserwowaniu podejrzanej aktywności w sieci.

Jak możemy pomóc?

Zrozumienie zagrożeń takich jak 01flip ransomware to pierwszy, kluczowy krok. Jednak sama wiedza nie wystarczy. Skuteczna obrona wymaga proaktywnych działań, ciągłego testowania zabezpieczeń i przygotowania na najgorsze scenariusze. Ataki “hands-on-keyboard” omijają pasywne systemy obronne, wykorzystując luki w konfiguracji i ludzkie błędy.

W VIPentest specjalizujemy się w symulowaniu działań zaawansowanych grup przestępczych, aby pomóc Twojej organizacji zidentyfikować i wyeliminować słabe punkty, zanim zrobią to prawdziwi napastnicy. Nasze usługi, takie jak testy penetracyjne, operacje red teaming czy audyty bezpieczeństwa konfiguracji, pozwalają zweryfikować odporność Twojej infrastruktury – zarówno systemów Windows, jak i Linux – na techniki stosowane przez grupy takie jak CL-CRI-1036.

Nie czekaj, aż zagrożenie zapuka do Twoich drzwi. Skontaktuj się z naszymi ekspertami, aby omówić, jak możemy wzmocnić Twoją strategię cyberbezpieczeństwa i przygotować Twój zespół na wyzwania jutra.