Jak atak naprawdę dociera
3 lipca 2026 roku badacze Nevan Beal i Sam Decker z Blackpoint Cyber, wspólnie z Palo Alto Networks Unit 42, ujawnili nieznany dotąd modularny framework, który nazwali Avalon. Nie przychodzi jako oczywisty załącznik. Łańcuch zaczyna się od wiadomości e-mail udającej dokument prawny, która kieruje odbiorcę do chronionego hasłem archiwum na Proton Drive, a złośliwy kod podróżuje wewnątrz obrazu ISO zamiast w pliku, który bramka pocztowa by przeskanowała.
Otwarcie obrazu montuje go jak dysk, a skrót systemu Windows przebrany za dokument uruchamia MSBuild, legalne narzędzie Microsoftu, aby wczytać osadzony kod, który najpierw manipuluje rejestrowaniem zdarzeń systemu Windows, a potem pobiera Avalona. Niemal wszystko działa w pamięci i zostawia niewiele śladów na dysku. Próbkę wgrano na VirusTotal 11 marca 2026 roku i przez około cztery miesiące nie zaliczyła ani jednego wykrycia.
Najpierw uderza w warstwę odtwarzania
Tym, co odróżnia Avalona od zwykłego ransomware, jest kolejność działań. Przed jakimkolwiek szyfrowaniem framework zbiera poświadczenia z przeglądarek, menedżerów haseł oraz profili VPN, SSH i Wi-Fi, a następnie przemieszcza się w bok właśnie ku temu, co umożliwiłoby odtworzenie: kontrolery domeny, hosty wirtualizacji takie jak vCenter i Hyper-V oraz platformy kopii zapasowych takie jak Veeam, Acronis, NetApp i Synology. Po drodze usuwa kopie w tle systemu Windows.
Dopiero gdy warstwa odtwarzania zostanie unieszkodliwiona, moduł CrownX szyfruje pliki uwierzytelnioną kryptografią AES-GCM. Framework niesie też własne procedury, by ukryć się przed dziewięcioma wymienionymi z nazwy produktami: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee i Bitdefender. Niewygodna teza nie brzmi, że istnieje kolejny ransomware; brzmi tak, że ten jest zbudowany, by uczynić fałszywą zwykłą odpowiedź, po prostu odtworzymy dane, zanim jeszcze zacznie się szyfrowanie.
Co to zmienia dla operatora
Praktyczna lekcja nie zależy od tego, jakiej marki punktów końcowych używasz. Gdy zestaw jest zbudowany specjalnie po to, by oślepić dziewięć z nich i najpierw usunąć kopie zapasowe, wykrywanie staje się warstwą, a nie gwarancją, a kontrola, która nadal działa, to kopia, do której napastnik nie może dosięgnąć. Oznacza to co najmniej jedną niezmienną lub odłączoną kopię, której nie usunie nawet przejęty administrator domeny, oraz odtworzenie, które naprawdę przetestowałeś w tym kwartale, a nie tylko założyłeś.
Dwa szczegóły podnoszą stawkę dla europejskich operatorów. Trzy z dziewięciu omijanych narzędzi, Sophos, ESET i Bitdefender, to europejskie filary, więc duża część regionu używa właśnie produktów, pod które ten zestaw dostrojono. A badacze widzą ślady rozwoju wspomaganego przez SI, co obniża czas i umiejętności potrzebne grupie do zbudowania czegoś tak wielowarstwowego, więc będzie tego więcej. W ramach NIS2 odpowiedzialność za poradzenie sobie z tym spoczywa na wyznaczonym kierownictwie, a nie tylko na zespole bezpieczeństwa.
Czytaj dalej: Jeden wyciek u dostawcy odpowiadał za połowę europejskich ofiar ransomware | Ryzyko jailbreaku ma teraz ocenę wagi



