ФБР: вирус-вымогатель Ghost атаковал организации в 70 странах
источник: dall-e
ФБР и CISA сообщили, что киберпреступники, применяющие вредоносное ПО Ghost, сумели получить несанкционированный доступ к системам предприятий и учреждений в более чем 70 государствах. В список пострадавших вошли объекты, относящиеся к критически важным инфраструктурам.
Кроме этого, атаке подверглись организации в сферах медицины, государственного управления, образовательного сектора, технологической отрасли и промышленности. В число жертв также попали компании среднего и малого бизнеса.
По данным ФБР, CISA и Межгосударственного центра обмена и анализа информации (MS-ISAC), атаки начались в 2021 году. Киберпреступники использовали уязвимости в устаревших версиях программ и прошивок, что позволило им проникать в сети.
Специалисты подчеркнули, что хакеры, стоящие за этим вирусом, действуют хаотично, не выбирая жертв по определённым критериям. Их главная цель — эксплуатация слабых мест в системах, что и привело к заражению организаций по всему миру, включая Китай.
Эксперты в области кибербезопасности установили, что операторы Ghost регулярно модифицируют вредоносные файлы, меняют расширения зашифрованных данных, обновляют тексты требований о выкупе и используют различные электронные адреса для связи. Это значительно усложняет их идентификацию и отслеживание.
Группировка известна под разными именами, среди которых Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. В ходе атак применялись вредоносные файлы, такие как Cring.exe, Ghost.exe, ElysiumO.exe и Locker.exe.
Злоумышленники действуют с целью получения финансовой выгоды, используя открытый исходный код для поиска слабых мест в защищённости серверов. Среди атакованных платформ — Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) и Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Первыми присутствие Ghost зафиксировали специалисты Amigo_A и CSIRT Swisscom в начале 2021 года. Впоследствии преступники начали применять инструменты Mimikatz, а также развёртывать CobaltStrike и распространять вредоносные программы через стандартный менеджер сертификатов Windows CertUtil, обходя системы безопасности.
