Rumuński cyberprzestępca przyznał się do sprzedaży dostępu do sieci urzędu stanu Oregon — anatomia „initial access broker” w praktyce

Wprowadzenie do problemu / definicja luki

Departament Sprawiedliwości USA opisał sprawę, która dobrze ilustruje model „cyberprzestępczości jako łańcucha dostaw”: jeden aktor włamuje się do organizacji, a następnie sprzedaje gotowy dostęp innym. To właśnie rola initial access broker (IAB) — pośrednika handlującego wejściem do cudzych sieci, co znacząco skraca czas potrzebny kolejnym napastnikom na start ataku.

W tej konkretnej sprawie rumuński obywatel Catalin Dragomir (45) przyznał się do winy w związku z włamaniem do sieci biura administracji stanowej Oregonu (z 2021 r.) oraz sprzedażą dostępu do innych amerykańskich ofiar.

W skrócie

• Dragomir uzyskał nieautoryzowany dostęp do komputera w sieci urzędu stanu Oregonu w czerwcu 2021 r. i sprzedał ten dostęp.
• Aby uwiarygodnić ofertę, przekazał kupującemu próbki danych identyfikacyjnych (PII) pochodzących z przejętego systemu.
• Łączne straty ofiar w USA oszacowano na co najmniej 250 tys. USD.
• Został aresztowany w Rumunii (listopad 2024) i ekstradowany do USA (styczeń 2025).
• Ma zostać skazany 26 maja 2026 r.; grozi mu m.in. do 5 lat więzienia za pozyskanie informacji z „protected computer” oraz obowiązkowa, kolejna kara 2 lat za „aggravated identity theft”.

Kontekst / historia / powiązania

Z perspektywy obrony najważniejsze jest to, iż opisane działania są klasycznym „produktem” na czarnym rynku: sprzedaż wejścia do sieci (często pojedynczego hosta albo segmentu), czasem wraz z dodatkami typu: poziom uprawnień, dostęp VPN/RDP, zestaw poświadczeń, wskazówki dot. topologii czy próbki danych jako „proof”. DOJ wprost wskazuje, iż w trakcie sprzedaży Dragomir pokazał próbki PII, by udowodnić realny dostęp.

W szerszym ekosystemie takie „gotowe wejście” bywa kupowane przez grupy ransomware i operatorów wymuszeń danych — CISA w swoich ostrzeżeniach regularnie odnosi się do scenariuszy, w których początkowy dostęp jest pozyskiwany poprzez skradzione poświadczenia, VPN-y lub właśnie przez IAB.

Analiza techniczna / szczegóły luki

DOJ nie ujawnia w komunikacie, jaką konkretnie ścieżką uzyskano dostęp (np. podatność, phishing, wyciek poświadczeń). Mimo to można zmapować ten przypadek na typowe TTP spotykane przy handlu dostępem:

1. Abuse of valid credentials (MITRE ATT&CK T1078 — Valid Accounts)
   Jeżeli wejście do sieci odbyło się przez przejęte konta (lokalne/domenowe/chmurowe), pasuje to do techniki nadużycia prawidłowych kont, często wykorzystywanej do initial access i utrzymania się w środowisku.
2. Wykorzystanie usług zdalnego dostępu (MITRE ATT&CK T1133 — External Remote Services)
   W realnych incydentach IAB bardzo często monetyzują dostęp poprzez VPN, bramy zdalnego dostępu, RDP/Citrix i podobne punkty wejścia. Technika T1133 opisuje właśnie wykorzystanie zewnętrznych usług zdalnych jako wektora initial access i/lub persistence.
3. „Proof-of-access” poprzez dane wrażliwe
   W tej sprawie potwierdzenie dostępu miało postać próbek PII z przejętego komputera. Taki mechanizm „dowodu” jest typowy dla rynków dostępu: kupujący chce ograniczyć ryzyko oszustwa, a sprzedający maksymalizuje cenę.

Warto zauważyć, iż DOJ/USAO Oregon podają również elementy finansowe: w akcie oskarżenia (maj 2024) pojawiają się m.in. wątki money laundering, a w ramach ugody oskarżony zgodził się na pełną restytucję oraz przepadek kryptowalut.

Praktyczne konsekwencje / ryzyko

Sprzedaż dostępu jest szczególnie groźna, bo oddziela „włamanie” od „ataku adekwatnego”:

• Skrócenie czasu do szkody: nabywca (np. ransomware) może wejść od razu, bez tygodni rozpoznania i prób.
• Trudniejsze atrybuowanie i triage: w logach widzisz jeden zestaw TTP na etapie włamania i inny podczas eksfiltracji/szyfrowania — często różni aktorzy.
• Ryzyko kaskadowe: pojedynczy sprzedany dostęp może skutkować wieloma następującymi po sobie incydentami (różni kupujący, różne cele).

CISA w wielu #StopRansomware podkreśla, iż grupy ransomware potrafią pozyskiwać wejście m.in. przez skompro-mitowane poświadczenia VPN oraz przez pośredników dostępu — czyli dokładnie tę kategorię przestępczości, którą opisuje sprawa Dragomira.

Rekomendacje operacyjne / co zrobić teraz

Jeśli chcesz realnie obniżyć ryzyko scenariusza „IAB → ransomware”, potraktuj punkty wejścia jak produkt, który ktoś próbuje wystawić na sprzedaż:

1. Zabezpiecz zdalny dostęp (VPN/RDP/Citrix/portale dostępu)
   • MFA wszędzie (w tym dla kont uprzywilejowanych).
   • Ograniczenia geograficzne, urządzenia zaufane, polityki conditional access.
   • Twarde limity prób logowania + wykrywanie password spraying.
2. Poluj na T1078/T1133 w logach
   • Nietypowe logowania (czas, geolokalizacja, urządzenie, brak zgodności z profilem).
   • Nagłe skoki uprawnień, tworzenie nowych kont, dodania do grup admin.
   • Dostęp do usług zdalnych z anomaliami w UA/kliencie, źródłach IP itp.
3. Minimalizuj „wartość rynkową” pojedynczego hosta
   • Segmentacja, zasada najmniejszych uprawnień, izolacja stacji uprzywilejowanych.
   • Wymuszenie EDR, blokady narzędzi administracyjnych tam, gdzie niepotrzebne.
4. Utrudnij „proof-of-access”
   • Monitoring dostępu do repozytoriów danych wrażliwych (PII), DLP/alerty na nietypowe odczyty.
   • Szyfrowanie danych w spoczynku, ograniczenia eksportu/drukowania, tokenizacja PII.
5. Przygotuj playbook “initial access discovered”
   • Szybka rotacja poświadczeń + wymuszenie resetu sesji.
   • Audyt urządzeń brzegowych i kont zdalnego dostępu.
   • „Containment first”: odcięcie hosta/segmentu, zanim nastąpi ruch boczny.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W komunikacie DOJ nie ma wzmianki o ransomware, ale model działania jest zgodny z tym, co CISA opisuje w ostrzeżeniach o gangach ransomware: dostęp bywa kupowany (z forów/marketplace’ów) lub pozyskiwany od IAB, a punktem startu nierzadko są zdalne usługi i poświadczenia.

Różnica jest taka, iż tutaj „produkt” (dostęp) został wprost opisany w dokumentach sądowych, wraz z elementem „dowodu” w postaci próbek PII — co rzadziej trafia do publicznych, oficjalnych komunikatów w tak czytelnej formie.

Podsumowanie / najważniejsze wnioski

• Sprawa Dragomira pokazuje, iż handel dostępem to nie teoria — to praktyka, która trafia do aktów oskarżenia i kończy się ekstradycją oraz wyrokiem.
• Z perspektywy obrony największy problem to „kompresja czasu”: kupujący dostęp może przejść do destrukcyjnych etapów ataku niemal natychmiast.
• Priorytety bezpieczeństwa: zdalny dostęp, poświadczenia, anomalie logowań, segmentacja i szybki playbook na wykrycie footholdu — bo to elementy, które bezpośrednio obniżają „wartość” Twojej sieci na czarnym rynku.

Źródła / bibliografia

1. U.S. Department of Justice (OPA) — komunikat z 20 lutego 2026 r. (Department of Justice)
2. U.S. Attorney’s Office, District of Oregon — szczegóły postępowania i ugody. (Department of Justice)
3. MITRE ATT&CK — T1078 Valid Accounts. (attack.mitre.org)
4. MITRE ATT&CK — T1133 External Remote Services. (attack.mitre.org)
5. CISA #StopRansomware — advisory, wątki dot. initial access brokers i dostępu przez zdalne usługi/poświadczenia. (cisa.gov)