Američka agencija za sajber bezbjednost CISA i FBI objavili su zajedničko upozorenje o kineskoj operaciji ransomware-a pod nazivom Ghost, koja je pogodila organizacije u preko 70 zemalja.
Poznata i kao Cring, porodica ransomware-a je uočena u napadima od 2021. godine, ciljajući na organizacije u kritičnoj infrastrukturi, obrazovanju, vladi, proizvodnji i tehnologiji, kao i na vjerske institucije.
“Glumci duhova, smješteni u Kini, sprovode ove široko rasprostranjene napade radi finansijske dobiti”, napominju CISA i FBI u zajedničkom saopštenju.
Dvije agencije upozoravaju da grupa ransomware-a često rotira svoje korisne podatke, mijenja ekstenzije dodane šifrirovanim datotekama i oslanja se na više adresa e-pošte za otkup, što otežava pripisivanje.
“Imena povezana s ovom grupom uključuju Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada i Rapture. Uzorci ransomware datoteka koje Ghost koristi tokom napada su: Cring.exe, Ghost.exe, ElysiumO.exe i Locker.exe”, piše u saopštenju.
Grupa Ghost ransomware-a, CISA i FBI napominju, iskorištava poznate ranjivosti u internet dostupnim uređajima i uslugama za početni pristup i postavlja web ljusku, Cobalt Strike beacon i alate otvorenog koda za eskalaciju privilegija i bočno kretanje prije postavljanja i izvršavanja šifrovanog softvera datoteka.
Grupa je primijećena kako iskorištava bezbjednosne defekte u Fortinet FortiOS ( CVE-2018-13379 ), Adobe ColdFusion ( CVE-2010-2861 i CVE-2009-3960 ), Microsoft SharePoint ( CVE-2019-0604 ) i Exchange (CVE-342) CVE-2021-34523 i CVE-2021-31207 – pod zajedničkim nazivom ProxyShell ).
Obično prelazeći sa početnog pristupa na implementaciju ransomware-a u roku od nekoliko dana, Ghost hakeri se ne fokusiraju na postizanje postojanosti, iako je uočeno da stvaraju nove naloge i mijenjaju lozinke za postojeće.
Izvor: SecurityWeek