A CISA e o FBI informaram que atacantes utilizando o ransomware Ghost violaram sistemas de vítimas de diversos setores da indústria em mais de 70 países, incluindo organizações de infraestrutura crítica.
Outros setores impactados incluem saúde, governo, educação, tecnologia, manufatura e inúmeras pequenas e médias empresas.
"Começando no início de 2021, os atores do Ghost começaram a atacar vítimas cujos serviços voltados para a internet rodavam versões desatualizadas de software e firmware", disseram a CISA, o FBI e o Centro de Compartilhamento e Análise de Informações Multi-Estado (MS-ISAC) em um aviso conjunto divulgado na quarta-feira(19).
Esse alvo indiscriminado de redes contendo vulnerabilidades levou ao comprometimento de organizações em mais de 70 países, incluindo organizações na China.
Os operadores do ransomware Ghost frequentemente rotacionam seus executáveis de malware, mudam as extensões de arquivos criptografados, alteram o conteúdo de suas notas de resgate e utilizam múltiplos endereços de e-mail para comunicações de resgate, o que muitas vezes levou à atribuição flutuante do grupo ao longo do tempo.
Nomes ligados a este grupo incluem Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture, com amostras de ransomware usadas em seus ataques incluindo Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe.
Este grupo de ransomware motivado financeiramente utiliza código publicamente acessível para explorar falhas de segurança em servidores vulneráveis.
Eles miram vulnerabilidades não corrigidas em Fortinet (
CVE-2018-13379
), ColdFusion (CVE-2010-2861, CVE-2009-3960) e Exchange (
CVE-2021-34473
,
CVE-2021-34523
,
CVE-2021-31207
).
Para se defender contra ataques do ransomware Ghost, os defensores de rede são aconselhados a tomar as seguintes medidas:
- Fazer backups regulares e fora do local do sistema, que não podem ser criptografados por ransomware,
- Corrigir vulnerabilidades de sistema operacional, software e firmware assim que possível,
- Focar nas falhas de segurança visadas pelo ransomware Ghost (i.e.,
CVE-2018-13379
, CVE-2010-2861, CVE-2009-3960,
CVE-2021-34473
,
CVE-2021-34523
,
CVE-2021-31207
),
- Segmentar redes para limitar o movimento lateral de dispositivos infectados,
- Aplicar autenticação multifator resistente a phishing (MFA) para todas as contas privilegiadas e contas de serviços de e-mail.
Logo após o Amigo_A e a equipe CSIRT da Swisscom terem identificado pela primeira vez o ransomware Ghost no início de 2021, seus operadores estavam soltando amostras customizadas de Mimikatz, seguidas por beacons de CobaltStrike, e implantando payloads úteis de ransomware usando o gerenciador de certificados do Windows CertUtil para burlar softwares de segurança.
Além de serem explorados para acesso inicial em ataques do ransomware Ghost, grupos de hacking apoiados pelo estado que escanearam em busca de vulnerabilidades nos aparelhos SSL VPN da Fortinet também visaram a vulnerabilidade
CVE-2018-13379
.
Os atacantes também abusaram da mesma vulnerabilidade de segurança para violar sistemas de suporte a eleições dos EUA expostos na Internet.
A Fortinet alertou os clientes para corrigirem seus aparelhos SSL VPN contra o
CVE-2018-13379
várias vezes, em agosto de 2019, julho de 2020, novembro de 2020 e novamente em abril de 2021.
O aviso conjunto emitido hoje pela CISA, pelo FBI e pelo MS-ISAC também inclui indicadores de comprometimento (IOCs), táticas, técnicas e procedimentos (TTPs) e métodos de detecção ligados à atividade anterior do ransomware Ghost identificados durante investigações do FBI tão recentemente quanto em janeiro de 2025.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...