Атаки программ-вымогателей Ghost: угроза глобальной безопасности

Атаки программ-вымогателей Ghost: угроза глобальной безопасности

Недавний отчет о киберугрозах предупреждает о работе активной группы программ-вымогателей, известной как Ghost (также называемой Cring). Эта группа использует уязвимости в общедоступных приложениях и операционных системах для взлома сетей в более чем 70 странах.

Происхождение и цели группы

Группа, как предполагается, ведет свое происхождение из Китая и ориентирована на финансовую выгоду. Они атакуют широкий спектр секторов, включая:

  • важнейшую инфраструктуру
  • здравоохранение
  • образование
  • правительство
  • крупные коммерческие структуры

Уязвимости и методы атаки

Злоумышленники используют различные уязвимости, связанные с:

  • Fortinet FortiOS (CVE-2018-13379)
  • Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960)
  • службами Microsoft, включая Exchange и SharePoint (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)

Эти уязвимости позволяют получить первоначальный доступ к сетям, особенно к системам, которые не были обновлены для устранения известных проблем. Получив доступ, злоумышленники развертывают веб-оболочки и используют командную строку Windows и PowerShell для загрузки вредоносного ПО Cobalt Strike Beacon.

Скорость и эффективность атак

Атаки Ghost проводятся с высокой степенью эффективности, часто переходя от первоначального взлома к развертыванию программ-вымогателей в течение одного дня.

Хотя они обычно не фокусируются на поддержании доступа, злоумышленники могут:

  • создавать новые локальные и доменные учетные записи
  • изменять существующие учетные записи

Использование программ-вымогателей

Ghost использует различные исполняемые файлы-вымогатели, включая:

  • Cring.exe
  • Ghost.exe
  • Locker.exe

Эти программы шифруют данные жертв и требуют выкуп, который обычно составляет от десятков до сотен тысяч долларов в криптовалюте.

Кроме того, программа-вымогатель может отключать службы теневого копирования томов и удалять теневые копии, что делает восстановление данных без ключа расшифровки невозможным.

Методы коммуникации и управления

Злоумышленники общаются через зашифрованные почтовые сервисы и используют механизмы управления, не связанные с регулярно регистрируемыми доменами. Они чаще подключаются напрямую к IP-адресам своих серверов C2, что облегчает загрузку вредоносного ПО.

С 2024 года группа также начала использовать идентификаторы TOX для связи в записках о выкупе, что демонстрирует их продолжающееся совершенствование методов работы.

Рекомендации по кибербезопасности

Чтобы снизить риски атак со стороны группы Ghost, рекомендуется:

  • регулярно и надежно выполнять резервное копирование данных
  • своевременно вносить исправления для устранения известных уязвимостей
  • сегментировать сеть для ограничения перемещения по ней
  • внедрять многофакторную аутентификацию, защищенную от фишинга (MFA) для привилегированного доступа

Организациям настоятельно рекомендуется незамедлительно сообщать о любых инцидентах с программами-вымогателями в соответствующие органы, чтобы помочь в эффективной борьбе с этими угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: