Группа программ-вымогателей Ghost: угрозы и методы атак
В феврале 2025 года Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и защите инфраструктуры (CISA) и Международный центр обмена информацией и анализа (MS-ISAC) опубликовали рекомендации, касающиеся кибербезопасности, в которых подробно изложена деятельность программы-вымогателя Ghost (также известной как Cring). В этом отчете внимание уделяется методам, инструментам и характеру атак этой группы.
Деятельность группы Ghost (Cring)
Группа программ-вымогателей Ghost действует с 2021 года и нацеливается на критически важные сектора, такие как:
- Здравоохранение
- Правительство
- Критически важная инфраструктура
Злоумышленники используют известные уязвимости в устаревших общедоступных приложениях для проникновения в целевые сети. После успешного доступа они применяют различные инструменты в рамках атаки.
Инструменты и методы
Группа использует следующий набор инструментов:
- Cobalt Strike framework для управления системой
- BadPotato и GodPotato для повышения привилегий
- Mimikatz для сброса учетных данных
- SharpShares для перечисления сети
- Инструментарий управления Windows (WMI) для горизонтального перемещения
После получения достаточного доступа развертывается полезная нагрузка программы-вымогателя, которая варьируется в зависимости от конкретной жертвы.
Особенности программы-вымогателя Elysium
Один из проанализированных вариантов полезной нагрузки называется Elysium. Эта программа использует:
- Разнообразные механизмы шифрования, встроенные в .NET framework
- Методы обфускации, такие как обфускация строк, для усложнения обратного проектирования
Во время выполнения программы проводится проверка наличия аргументов командной строки. В зависимости от этого программа продолжает шифрование или завершает работу без него.
Если указан параметр «все», программа осуществляет обширные подготовительные действия:
- Остановка жестко запрограммированных служб
- Попытка приостановки запуска виртуальных машин Hyper-V с помощью PowerShell
- Отключение резервного копирования системы
- Удаление теневых копий
Процесс шифрования
После завершения подготовительных действий программа начинает шифрование файлов. Процесс включает:
- Перечисление дисков на зараженном компьютере
- Подготовку очереди файлов для шифрования
- Помещение уведомления о требовании «HvTovz-README.txt» в каждую папку на рабочем столе
Программа использует шифрование AES-256 в режиме CFB для файлов, создавая уникальный ключ и вектор инициализации для каждого файла. Ключ шифрования защищается с помощью RSA и добавляется в конец зашифрованного файла.
Заключение
Деятельность группы Ghost/Cring подчеркивает ее статус постоянной угрозы, особенно в критически важных секторах. Учитывая их разнообразный арсенал и способности адаптироваться к различным жертвам, методы, используемые этой группой, становятся важными для аналитиков кибербезопасности в целях мониторинга и устранения последствий.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
