CISA și FBI au declarat că atacatorii care folosesc ransomware-ul Ghost au compromis victime din mai multe sectoare industriale din peste 70 de țări, inclusiv organizații din infrastructura critică.
Alte industrii afectate includ sectorul sănătății, guvernul, educația, tehnologia, producția și numeroase întreprinderi mici și mijlocii.
„Începând din 2021, actorii Ghost au început să atace victime ale căror servicii accesibile de pe internet rulau versiuni învechite de software și firmware,” au declarat CISA, FBI și Centrul de Partajare și Analiză a Informațiilor Multi-Statale (MS-ISAC) într-un aviz comun lansat miercuri.
„Acest targeting indiscriminat al rețelelor care conțin vulnerabilități a dus la compromiterea organizațiilor din peste 70 de țări, inclusiv organizații din China.”
Operatorii ransomware Ghost rotesc frecvent executabilele malware-ului lor, schimbă extensiile fișierelor criptate, modifică conținutul notelor lor de răscumpărare și utilizează mai multe adrese de email pentru comunicările de răscumpărare, ceea ce a dus adesea la o atribuire fluctuantă a grupului în timp.
Numele legate de acest grup includ Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada și Rapture, iar mostrele de ransomware utilizate în atacurile lor includ Cring.exe, Ghost.exe, ElysiumO.exe și Locker.exe.
Acest grup ransomware cu motivație financiară folosește codul accesibil public pentru a exploata erorile de securitate din servere vulnerabile. Ei vizează vulnerabilitățile lăsate nepatch-uite în Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) și Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Pentru a se apăra împotriva atacurilor ransomware Ghost, apărătorii rețelei sunt sfătuiți să ia următoarele măsuri:
Imediat după ce Amigo_A și echipa CSIRT Swisscom au observat pentru prima dată ransomware-ul Ghost la începutul anului 2021, operatorii lor lăsau mostre personalizate de Mimikatz, urmate de beacon-uri CobaltStrike, și implementau încărcările de ransomware folosind managerul legitim de certificate Windows CertUtil pentru a ocoli software-ul de securitate.
În plus față de a fi exploatate pentru accesul inițial în atacurile ransomware Ghost, grupurile de hacking susținute de stat care au scanat pentru aparatele vulnerabile Fortinet SSL VPN au vizat, de asemenea, vulnerabilitatea CVE-2018-13379.
Atacatorii au abuzat, de asemenea, de aceeași vulnerabilitate de securitate pentru a compromite sistemele de suport pentru alegerile din SUA expuse pe internet.
Fortinet a avertizat clienții să-și patch-eze aparatele SSL VPN împotriva CVE-2018-13379 de mai multe ori în august 2019, iulie 2020, noiembrie 2020 și din nou în aprilie 2021.
Avizul comun emis azi de CISA, FBI și MS-ISAC include, de asemenea, indicatorii de compromitere (IOCs), tactici, tehnici și proceduri (TTPs) și metode de detectare legate de activitatea anterioară a ransomware-ului Ghost identificată în timpul investigațiilor FBI, cel mai recent în ianuarie 2025.
Leave a Reply