Stealer logi: dlaczego jeden zainfekowany laptop kończy się ransomware

Wyobraź sobie najtańszy możliwy sposób na włamanie do firmy. Myślisz pewnie o zero-dayu, tygodniach rekonesansu i geniuszu w kapturze, prawda? A.. no nie. W 2026 roku klucz do niejednej organizacji kosztuje tyle co dwa kebaby i nazywa się stealer log.

Friendly reminder na start: piszę to od strony obrony, żebyście wiedzieli, co jak Cię atakują i jak się zasłonić, a nie żebyście ruszali handlować hasłami ;) Well, rozbijmy ten temat na części pierwsze.

Temat chodzi za mną od dawna, bo widzę go z dwóch stron naraz, raz jako administrator, który zastanawia się, skąd ten dziwny login o trzeciej w nocy, a raz jako ktoś, kto zagląda na fora i widzi, że to wszystko jest na wyciągnięcie ręki. I szczerze? Skala trochę odbiera mowę.

Czym właściwie jest stealer log?

Stealer log to paczka danych wykradzionych z jednego zainfekowanego urządzenia - i kiedy mówię „danych", to mam na myśli całe życie cyfrowe ofiary. Zapisane w przeglądarce hasła, ciasteczka sesji, dane z autouzupełniania, tokeny, konfiguracje VPN, czasem portfele kryptowalut. Wszystko, co Twoja przeglądarka grzecznie trzymała „dla wygody".

Robi to malware z rodziny infostealerów. Nazwy przewijają się jak w prognozie pogody, bo rynek żyje: dziś na topie są Lumma, StealC i Vidar, RedLine osłabł po tym, jak służby rozbiły jego infrastrukturę w ramach Operation Magnus, ale jego stare logi nadal krążą i nadal działają. Mechanika jest brutalnie prosta. Infekcja wchodzi (najczęściej z fałszywej reklamy albo cracka do programu), zgarnia wszystko, co przeglądarka miała zapisane, pakuje to w jeden plik (ten właśnie log) i wysyła do operatora. Po czym często sama się kasuje, żeby nie zostawiać śladów. Myślisz,że się zorientujesz? Brak śladu. Laptop nie zamula, antywirus nie pika, życie toczy się dalej. Tyle że klucze są już na zewnątrz.

Dlaczego stealer log omija MFA?

Bo nie kradnie hasła, tylko dowód, że ktoś już się zalogował. I to jest moment, w którym większości ludzi opada szczęka, więc zatrzymajmy się na chwilę i zobaczmy jak to (nie)działa.

MFA pilnuje drzwi wejściowych. Pokazujesz hasło, pokazujesz kod z aplikacji, drzwi się otwierają, a serwer wręcza Ci opaskę na rękę (ciasteczko sesji) która mówi „ten już przeszedł kontrolę, wpuszczać bez pytania". Infostealer nie próbuje sforsować drzwi ani podrobić Twojej twarzy. On po prostu zdejmuje Ci tę opaskę z ręki i zakłada ją sobie. Atakujący wkleja Twoje ciasteczko do własnej przeglądarki i jest w środku, bez hasła i bez kodu, bo z punktu widzenia serwera sesja jest już uwierzytelniona.

Brzmi absurdalnie? Owszem. Ale to dlatego tyle włamań w zeszłym roku wyglądało w logach nie jak atak, tylko jak najnudniejsze na świecie, autoryzowane logowanie pracownika. MFA chroni moment logowania. Infostealer uderza w to, co dzieje się sekundę później. Jedyne, co realnie podnosi poprzeczkę, to passkeye i klucze FIDO2, bo tam nie ma ciasteczka, które da się tak po prostu przenieść.

Ile kosztuje taki log i gdzie się go kupuje?

Od jakichś 10 dolarów za zwykły log do ponad 100 za wartościowy cel czyli, mniej niż abonament na Netflixa. Sprzedaje się je masowo, hurtowo, na rynkach typu Russian Market i na kanałach Telegrama. I nie, kupujący nie szuka po omacku. On wpisuje w wyszukiwarkę konkretnie Twoją domenę: @twojafirma.pl, a najlepiej vpn.twojafirma.pl, i dostaje listę pasujących logów jak produkty w sklepie.

Skala? W pewnym momencie 2025 roku jedna jedyna rodzina, Lumma, odpowiadała za ponad 90% logów na największym z tych rynków. Dziewięćdziesiąt procent. Jeden gracz. To nie jest nisza dla tajemniczych grup państwowych, to jest hipermarket z poświadczeniami, w którym Twoja firma może już od dawna leżeć na półce z metką.

Jak szybko z loga robi się ransomware?

Czasem w dwa dni....i nie, nie przesadzam dla dramatyzmu. Czytałam, że według raportu Verizona z 2025 roku ponad połowa ofiar ransomware miała wcześniej swoje firmowe poświadczenia w logach infostealerów. Ponad połowa. A średni czas od zainfekowanego prywatnego laptopa do incydentu w firmie to mniej więcej tydzień.

Łańcuch jest aż obrzydliwie sprawny: log trafia na Telegram, kupuje go broker dostępu (o nim pisałam osobno), testuje, listuje gotowy dostęp do Twojej sieci, a operator ransomware go odkupuje i wchodzi. Każdy robi swój kawałek, jak w fabryce. Jeśli Twoje konto wypłynie w logu w poniedziałek, to w środę możesz już czytać notatkę z żądaniem okupu. Romantyczna wizja hakera, który tygodniami dłubie w Twojej sieci, jest właśnie tym - wizją. Realny atakujący po prostu wszedł kluczem, który ktoś inny mu sprzedał.

Dlaczego EDR i MFA tego nie wyłapią?

Bo infekcja najczęściej siedzi tam, gdzie Twoje firmowe kontrole w ogóle nie sięgają - na prywatnym, niezarządzanym laptopie pracownika. Tym samym, na którym „tylko na chwilę" zalogował się do firmowej poczty z domu w sobotę.

Badania pokazują, że gros zainfekowanych urządzeń to sprzęt prywatny w modelu BYOD, a - i tu robi się naprawdę niewygodnie - sporo infekcji łapie się na maszynach, które mają zainstalowany EDR czy antywirus. Bo te malware są pisane dokładnie pod to, żeby je obchodzić. Wyobraź sobie ten obrazek: menedżer klika fałszywą reklamę na własnym laptopie w sobotnie popołudnie, malware instaluje się w ciszy, zgarnia zapisane hasło do firmowego VPN i znika. Twój SOC nie zobaczy nic, bo to się wydarzyło kilometr od Twojej sieci, na sprzęcie, którego nawet nie inwentaryzujesz. Pierwszy sygnał dostaniesz dopiero wtedy, gdy poświadczenia wypłyną na rynku albo gdy ktoś ich użyje. Czyli za późno.

Jak się przed tym bronić?

Najwięcej daje odebranie infostealerowi "duszy" i skrócenie życia temu, co i tak wyciekło - bo założenie, że nic nie wycieknie, jest raczej naiwne. Konkretnie, w kolejności od najtańszego do najskuteczniejszego:

Nie pozwól przeglądarce zapisywać haseł, wymuś firmowy menedżer haseł zamiast tego. Przejdź z SMS-owego MFA na passkeye i klucze FIDO2, bo to one realnie kłują tę technikę z ciasteczkiem. Skróć czas życia sesji i wepnij conditional access, żeby zmiana urządzenia albo lokalizacji wymuszała ponowne logowanie - wtedy skradziona „opaska na rękę" przestaje działać po godzinie, a nie po tygodniu. I zajmij się BYOD, bo udawanie, że ludzie nie logują się do firmowych zasobów z prywatnych sprzętów, kosztuje najwięcej.

A po stronie reakcji jedna rzecz, której nie wolno zapomnieć: gdy znajdziesz swoje konto w logu, nie wystarczy zmienić hasło. Musisz unieważnić sesje. Reset hasła bez zabicia aktywnej sesji to jak wymiana zamka, podczas gdy włamywacz siedzi już w salonie i ogląda Twój telewizor.

Dirty fact: na rynek trafia ponad milion świeżych logów dziennie, a jedna baza odkryta w 2025 roku zawierała kilkanaście miliardów poświadczeń, w dużej części posklejanych właśnie z takich logów. To nie jest problem, który „rozwiążesz" raz w piątek po obiedzie. To strumień, który płynie cały czas, niezależnie od tego, czy akurat patrzysz.

I tu morał, mało romantyczny, za to prawdziwy: w 2026 roku nikt nie musi łamać Twoich drzwi, skoro klucz leży na bazarze za dychę. Twoja robota to sprawić, żeby ten klucz jak najszybciej przestał pasować do zamka. A skoro log to dopiero surowiec, to biorę się za artykuł, w którym zaglądamy do kogoś, kto przerabia go na gotowy dostęp do firmy - czyli kim jest Initial Access Broker i ile bierze za otwarcie Ci drzwi ;)