CISA ir FTB teigė, kad užpuolikai, dislokuojantys „Ghost Ransomware“, pažeidė aukas iš kelių pramonės sektorių daugiau nei 70 šalių, įskaitant kritines infrastruktūros organizacijas.
Kitos paveiktos pramonės šakos yra sveikatos priežiūra, vyriausybė, švietimas, technologijos, gamyba ir daugybė mažų ir vidutinių verslo įmonių.
„Nuo 2021 m. Pradžios„ Ghost Actors “pradėjo pulti aukas, kurių internetinės paslaugos buvo pasenusios programinės įrangos ir programinės įrangos versijos“,-sakė CISA, FTB ir daugialypės informacijos dalijimosi ir analizės centras (MS-ISAC), sakė bendrame patarime, išleistame pranešime, išleistame patarime, išleistame patarime, išleistame patarime, išleistame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarime, paskelbtame bendrame patarimuose, išleistuose patarimuose, išleistuose patarimuose, išleistuose patarimais Trečiadienis.
„Šis beatodairiškas tinklų, kuriuose yra pažeidžiamumų, taikymas lėmė organizacijų kompromisą daugiau nei 70 šalių, įskaitant organizacijas Kinijoje.”
„Ghost Ransomware“ operatoriai dažnai suka savo kenkėjiškų programų vykdomuosius elementus, keičia užšifruotų failų failų plėtinius, keičia savo išpirkos pastabų turinį ir panaudoja kelis „Ransom Communications“ el. Pašto adresus, kurie laikui bėgant dažnai paskatino grupės priskyrimą.
Pavadinimai, susieti su šia grupe, yra „Ghost“, „Cring“, „Crypt3R“, „Phantom“, „Strike“, „Hello“, „Wickrme“, „Hsharada“ ir „Rapture“, su išpirkos programų pavyzdžiais, naudojamais jų atakose, įskaitant cring.exe, ghost.exe, ysysiumo.exe ir locker.exe.
Ši finansiškai motyvuota „Ransomware“ grupė pasitelkia viešai prieinamą kodą, kad išnaudotų pažeidžiamų serverių saugos trūkumus. Jie nukreipti į pažeidžiamumus, paliktus nepaliestus Fortinet (CVE-2018-13379), „Coldfusion“ (CVE-2010-2861, CVE-2009-3960) ir „Exchange“ (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 ).
Ginti nuo „Ghost Ransomware“ atakų, tinklo gynėjams patariama imtis šių priemonių:
- Padarykite įprastas ir ne vietos sistemos atsargines kopijas, kurių negali užšifruoti „Ransomware“,
- Pataiso operacinė sistema, programinė įranga ir programinės įrangos pažeidžiamumas kuo greičiau,
- Sutelkite dėmesį į saugumo trūkumus, nukreiptus į „Ghost Ransomware“ (IE, CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2010-31207),
- Segmentų tinklai, skirti apriboti šoninį judėjimą iš užkrėstų prietaisų,
- Vykdykite sukčiavimui atsparią daugiafaktoriaus autentifikavimą (MFA) visoms privilegijuotoms sąskaitose ir el. Pašto paslaugų paskyroms.
Iškart po amigo_a ir „Swisscom“ CSIRT komanda Pirmą kartą pastebėta „Ghost Ransomware“ 2021 m. Pradžioje, jų operatoriai numetė pasirinktinius „Mimikatz“ pavyzdžius, po to sekė „Cobaltstrike“ švyturius ir diegė „Ransomware“ naudingus krovinius, naudodamiesi teisėtu „Windows“ sertifikatų sertifikatų tvarkykle į apėjimo saugos programinę įrangą.
Be to, kad buvo išnaudojamos pradinėms prieigoms „Ghost Ransomware“ atakų metu, valstybės remiamos įsilaužimo grupės, kurios nuskaitytos dėl pažeidžiamų „Fortinet SSL VPN“ prietaisų, taip pat nukreipė į CVE-2018-13379 pažeidžiamumą.
Užpuolikai taip pat piktnaudžiavo tuo pačiu saugumo pažeidžiamumu pažeisti internete veikiančias JAV rinkimų paramos sistemas, kurias pasiekia internete.
„Fortinet“ perspėjo klientus pataisyti savo SSL VPN prietaisus prieš CVE-2018-13379 kelis kartus 2019 m. Rugpjūčio mėn., 2020 m. Liepos mėn., 2020 m. Lapkričio mėn., Ir vėl 2021 m. Balandžio mėn.
„CISA“, FTB ir MS-ISAC paskelbtas bendras patarimas taip pat apima kompromiso (IOC), taktikos, metodų ir procedūrų (TTP) ir aptikimo metodų, susijusių su ankstesne „Ghost Ransomware“ veikla, nustatyta FTB tyrimų metu, rodikliai ir aptikimo metodai. 2025 m. Sausio mėn.
