CISA 和 FBI 表示,部署 Ghost 勒索软件的攻击者已经入侵了包括关键基础设施组织在内的多个行业的受害者,涉及超过 70 个国家。
受影响的行业还包括医疗保健、政府、教育、技术、制造业以及众多中小企业。
“从 2021 年初开始,Ghost 攻击者开始攻击那些互联网服务运行过时软件和固件版本的受害者,”CISA、FBI 和多州信息共享与分析中心(MS-ISAC)在周三发布的一份联合公告中表示。
“这种对包含漏洞的网络的无差别攻击已导致超过 70 个国家的组织被攻陷,包括中国的组织。”
Ghost 勒索软件运营商经常更换其恶意软件可执行文件,更改加密文件的文件扩展名,修改勒索信内容,并使用多个电子邮件地址进行勒索通信,这导致该组织的归属随时间波动。
与该组织相关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture,其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。
这个以经济利益为动机的勒索软件组织利用公开可用的代码来利用易受攻击服务器的安全漏洞。他们针对的是 Fortinet(CVE-2018-13379)、ColdFusion(CVE-2010-2861、CVE-2009-3960)和 Exchange(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)中未修补的漏洞。
为了防御 Ghost 勒索软件攻击,网络安全防御者被建议采取以下措施:
- 制作定期的异地系统备份,防止被勒索软件加密,
- 尽快修补操作系统、软件和固件的漏洞,
- 关注 Ghost 勒索软件针对的安全漏洞(即 CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207),
- 对网络进行分段,限制从受感染设备的横向移动,
- 对所有特权账户和电子邮件服务账户强制使用抗网络钓鱼的多因素认证(MFA)。
在 Amigo_A 和 Swisscom 的 CSIRT 团队于 2021 年初首次发现 Ghost 勒索软件后,其运营商开始投放定制的 Mimikatz 样本,随后是 Cobalt Strike 信标,并使用合法的 Windows CertUtil 证书管理器部署勒索软件有效载荷,以绕过安全软件。
除了在 Ghost 勒索软件攻击中用于初始访问外,针对 Fortinet SSL VPN 设备的漏洞 CVE-2018-13379 的国家级黑客组织也被发现进行了攻击。
攻击者还利用同一安全漏洞攻陷了可通过互联网访问的美国选举支持系统。
Fortinet 在 2019 年 8 月、2020 年 7 月、2020 年 11 月和 2021 年 4 月多次警告客户修补其 SSL VPN 设备以应对 CVE-2018-13379。
CISA、FBI 和 MS-ISAC 今天发布的联合公告还包含了与 FBI 调查中识别的先前 Ghost 勒索软件活动相关的妥协指标(IOCs)、战术、技术和程序(TTPs)以及检测方法,这些调查最近一次是在 2025 年 1 月。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容