CISA ir FTB teigė, kad užpuolikai, dislokuojantys „Ghost Ransomware“, pažeidė aukas iš kelių pramonės sektorių daugiau nei 70 šalių, įskaitant kritines infrastruktūros organizacijas.
Kitos paveiktos pramonės šakos yra sveikatos priežiūra, vyriausybė, švietimas, technologijos, gamyba ir daugybė mažų ir vidutinių verslo įmonių.
„Beginning early 2021, Ghost actors began attacking victims whose internet facing services ran outdated versions of software and firmware,” CISA, the FBI, and the Multi-State Information Sharing and Analysis Center (MS-ISAC) said in a joint advisory released on Trečiadienis.
„Šis beatodairiškas tinklų, kuriuose yra pažeidžiamumų, taikymas lėmė organizacijų kompromisą daugiau nei 70 šalių, įskaitant organizacijas Kinijoje.”
„Ghost Ransomware“ operatoriai dažnai suka savo kenkėjiškų programų vykdomuosius elementus, keičia užšifruotų failų failų plėtinius, keičia savo išpirkos pastabų turinį ir panaudoja kelis „Ransom Communications“ el. Pašto adresus, kurie laikui bėgant dažnai paskatino grupės priskyrimą.
Pavadinimai, susieti su šia grupe, yra „Ghost“, „Cring“, „Crypt3R“, „Phantom“, „Strike“, „Hello“, „Wickrme“, „Hsharada“ ir „Rapture“, su išpirkos programų pavyzdžiais, naudojamais jų atakose, įskaitant cring.exe, ghost.exe, ysysiumo.exe ir locker.exe.
Ši finansiškai motyvuota „Ransomware“ grupė pasitelkia viešai prieinamą kodą, kad išnaudotų pažeidžiamų serverių saugos trūkumus. Jie nukreipti į pažeidžiamumus, paliktus nepaliestus Fortinet (CVE-2018-13379), „Coldfusion“ (CVE-2010-2861, CVE-2009-3960) ir „Exchange“ (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 ).
Ginti nuo „Ghost Ransomware“ atakų, tinklo gynėjams patariama imtis šių priemonių:
- Padarykite įprastas ir ne vietos sistemos atsargines kopijas, kurių negali užšifruoti „Ransomware“,
- Pataiso operacinė sistema, programinė įranga ir programinės įrangos pažeidžiamumas kuo greičiau,
- Sutelkite dėmesį į saugumo trūkumus, nukreiptus į „Ghost Ransomware“ (IE, CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2010-31207),
- Segmentų tinklai, skirti apriboti šoninį judėjimą iš užkrėstų prietaisų,
- Vykdykite sukčiavimui atsparią daugiafaktoriaus autentifikavimą (MFA) visoms privilegijuotoms sąskaitose ir el. Pašto paslaugų paskyroms.
Iškart po amigo_a ir „Swisscom“ CSIRT komanda Pirmą kartą pastebėta „Ghost Ransomware“ 2021 m. Pradžioje, jų operatoriai numetė pasirinktinius „Mimikatz“ pavyzdžius, po to sekė „Cobaltstrike“ švyturius ir diegė „Ransomware“ naudingus krovinius, naudodamiesi teisėtu „Windows“ sertifikatų sertifikatų tvarkykle į apėjimo saugos programinę įrangą.
Be to, kad buvo išnaudojamos pradinėms prieigoms „Ghost Ransomware“ atakų metu, valstybės remiamos įsilaužimo grupės, kurios nuskaitytos dėl pažeidžiamų „Fortinet SSL VPN“ prietaisų, taip pat nukreipė į CVE-2018-13379 pažeidžiamumą.
Užpuolikai taip pat piktnaudžiavo tuo pačiu saugumo pažeidžiamumu pažeisti internete veikiančias JAV rinkimų paramos sistemas, kurias pasiekia internete.
„Fortinet“ perspėjo klientus pataisyti savo SSL VPN prietaisus prieš CVE-2018-13379 kelis kartus 2019 m. Rugpjūčio mėn., 2020 m. Liepos mėn., 2020 m. Lapkričio mėn., Ir vėl 2021 m. Balandžio mėn.
„CISA“, FTB ir MS-ISAC paskelbtas bendras patarimas taip pat apima kompromiso (IOC), taktikos, metodų ir procedūrų (TTP) ir aptikimo metodų, susijusių su ankstesne „Ghost Ransomware“ veikla, nustatyta FTB tyrimų metu, rodikliai ir aptikimo metodai. 2025 m. Sausio mėn.
