O grupo de cibercrime conhecido como GhostSec está ligado a uma variante Golang de uma família de ransomware chamada GhostLocker.
"Os grupos de ransomware GhostSec e Stormous estão realizando ataques conjuntos de ransomware com dupla extorsão em diversos setores de negócios em vários países", disse o pesquisador da Cisco Talos, Chetan Raghuprasad, em um relatório compartilhado com o The Hacker News.
"GhostLocker e Stormous ransomware iniciaram um novo programa de ransomware como serviço (RaaS) STMX_GhostLocker, fornecendo várias opções para seus afiliados".
Os ataques realizados pelo grupo visaram vítimas em Cuba, Argentina, Polônia, China, Líbano, Israel, Uzbequistão, Índia, África do Sul, Brasil, Marrocos, Catar, Turquia, Egito, Vietnã, Tailândia e Indonésia.
Alguns dos setores mais impactados incluem tecnologia, educação, manufatura, governo, transporte, energia, medicina legal, imobiliária e telecomunicações.
GhostSec - que não deve ser confundido com o Ghost Security Group (também chamado GhostSec) - faz parte de uma coalisão chamada The Five Families, que também inclui ThreatSec, Stormous, Blackforums e SiegedSec.
Essa aliança surgiu em agosto de 2023 para "estabelecer melhor unidade e conexões para todos no mundo subterrâneo da internet, para expandir e crescer nosso trabalho e operações".
No final do ano passado, o grupo de cibercrime se aventurou no ransomware como serviço (RaaS) com o GhostLocker, oferecendo-o a outros atores por $269.99 por mês.
Logo depois, o grupo de ransomware Stormous anunciou que usaria ransomware baseado em Python em seus ataques.
As últimas descobertas da Talos mostram que os dois grupos se uniram para atacar não só uma ampla gama de setores, mas também lançar uma versão atualizada do GhostLocker em novembro de 2023, bem como iniciar um novo programa RaaS em 2024 chamado STMX_GhostLocker.
"O novo programa é composto por três categorias de serviços para os afiliados: pago, gratuito e outro para indivíduos sem um programa que apenas desejam vender ou publicar dados em seu blog (serviço PYV)", explicou Raghuprasad.
O STMX_GhostLocker, que vem com seu próprio site de vazamento na dark web, lista pelo menos seis vítimas da Índia, Uzbequistão, Indonésia, Polônia, Tailândia, e Argentina.
O GhostLocker 2.0 (também conhecido como GhostLocker V2) é escrito em Go e foi anunciado como totalmente eficaz e oferecendo capacidades rápidas de criptografia/descriptografia.
Ele também vem com uma nota de resgate reformulada que insta as vítimas a entrar em contato com eles dentro de sete dias ou correr o risco de ter seus dados roubados vazados.
O esquema RaaS também permite que os afiliados rastreiem suas operações, monitorem o status das criptografias, e pagamentos através de um painel web.
Eles também são fornecidos com um construtor que torna possível configurar a payload do locker de acordo com suas preferências, incluindo os diretórios para criptografar e os processos e serviços a serem encerrados antes de começar o processo de criptografia.
Uma vez implantado, o ransomware estabelece conexão com um painel de comando e controle (C2) e prossegue com a rotina de criptografia, mas não antes de matar os processos ou serviços definidos e exfiltrar arquivos correspondentes a uma lista específica de extensões.
A Talos afirmou que descobriu duas novas ferramentas provavelmente usadas pelo GhostSec para comprometer sites legítimos.
"Uma delas é o 'GhostSec Deep Scan toolset' para escanear websites legítimos de forma recursiva, e outra é uma ferramenta de hack para realizar ataques de cross-site scripting (XSS) chamada 'GhostPresser'", disse Raghuprasad.
O GhostPresser é principalmente projetado para invadir sites do WordPress, permitindo aos atores de ameaça alterar configurações do site, adicionar novos plugins e usuários, e até instalar novos temas, demonstrando o compromisso do GhostSec em evoluir seu arsenal.
"O grupo afirmou que já usou essa ferramenta em vários ataques, mas não temos como validar essas alegações.
Este tipo de ferramenta provavelmente seria usado pelos operadores do ransomware para uma variedade de razões", disse a Talos ao The Hacker News.
"A ferramenta de varredura profunda poderia ser usada para buscar formas de entrar nas redes das vítimas e a ferramenta GhostPresser, além de comprometer os sites das vítimas, poderia ser usada para preparar payload para distribuição, se eles não quisessem usar a infraestrutura dos atores".
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...