Атаки программ-вымогателей Ghost: угроза глобальной безопасности

Недавний отчет о киберугрозах предупреждает о работе активной группы программ-вымогателей, известной как Ghost (также называемой Cring). Эта группа использует уязвимости в общедоступных приложениях и операционных системах для взлома сетей в более чем 70 странах.
Происхождение и цели группы
Группа, как предполагается, ведет свое происхождение из Китая и ориентирована на финансовую выгоду. Они атакуют широкий спектр секторов, включая:
- важнейшую инфраструктуру
- здравоохранение
- образование
- правительство
- крупные коммерческие структуры
Уязвимости и методы атаки
Злоумышленники используют различные уязвимости, связанные с:
- Fortinet FortiOS (CVE-2018-13379)
- Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960)
- службами Microsoft, включая Exchange и SharePoint (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
Эти уязвимости позволяют получить первоначальный доступ к сетям, особенно к системам, которые не были обновлены для устранения известных проблем. Получив доступ, злоумышленники развертывают веб-оболочки и используют командную строку Windows и PowerShell для загрузки вредоносного ПО Cobalt Strike Beacon.
Скорость и эффективность атак
Атаки Ghost проводятся с высокой степенью эффективности, часто переходя от первоначального взлома к развертыванию программ-вымогателей в течение одного дня.
Хотя они обычно не фокусируются на поддержании доступа, злоумышленники могут:
- создавать новые локальные и доменные учетные записи
- изменять существующие учетные записи
Использование программ-вымогателей
Ghost использует различные исполняемые файлы-вымогатели, включая:
- Cring.exe
- Ghost.exe
- Locker.exe
Эти программы шифруют данные жертв и требуют выкуп, который обычно составляет от десятков до сотен тысяч долларов в криптовалюте.
Кроме того, программа-вымогатель может отключать службы теневого копирования томов и удалять теневые копии, что делает восстановление данных без ключа расшифровки невозможным.
Методы коммуникации и управления
Злоумышленники общаются через зашифрованные почтовые сервисы и используют механизмы управления, не связанные с регулярно регистрируемыми доменами. Они чаще подключаются напрямую к IP-адресам своих серверов C2, что облегчает загрузку вредоносного ПО.
С 2024 года группа также начала использовать идентификаторы TOX для связи в записках о выкупе, что демонстрирует их продолжающееся совершенствование методов работы.
Рекомендации по кибербезопасности
Чтобы снизить риски атак со стороны группы Ghost, рекомендуется:
- регулярно и надежно выполнять резервное копирование данных
- своевременно вносить исправления для устранения известных уязвимостей
- сегментировать сеть для ограничения перемещения по ней
- внедрять многофакторную аутентификацию, защищенную от фишинга (MFA) для привилегированного доступа
Организациям настоятельно рекомендуется незамедлительно сообщать о любых инцидентах с программами-вымогателями в соответствующие органы, чтобы помочь в эффективной борьбе с этими угрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



