FBI jelentés a Ghost zsarolóvírus csoportról

February 20, 2025 Yanac Cring, Crypt3r, Egészségügy, FBI, Ghost, Hello, HsHarada, Kína, Közigazgatás, Kritikus Infrastruktúra, Phantom, Rapture, Strike, USA, Wickrme, Zsarolóvírus

Az FBI, a CISA és az MS-ISAC közös figyelmeztetést adott ki a Ghost (Cring) ransomware tevékenységének növekedéséről, amelyet a szervezetek 2025 januárjáig tartó vizsgálatai során azonosítottak. A támadások forrás a megállapítások szerint Kína, és világszerte több mint 70 országban, köztük Kínában is támadtak meg különféle szervezeteket. A célpontok között szerepelnek kritikus infrastruktúrák, egészségügyi és oktatási intézmények, kormányzati hálózatok, vallási szervezetek, technológiai és gyártó cégek, valamint kis- és középvállalkozások. A támadók folyamatosan változtatják a ransomware fájlok neveit, fájlkiterjesztéseit és a zsarolólevelek szövegét, hogy nehezítsék azonosításukat. Ismert neveik közé tartozik a Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada és Rapture.

A Ghost csoport nyilvánosan elérhető exploitokat használ ismert sérülékenységek kihasználására, például a Fortinet FortiOS, Microsoft Exchange, Microsoft SharePoint és Adobe ColdFusion sebezhetőségeit. A támadók elsődleges célja a pénzszerzés, ezért gyorsan cselekszenek: gyakran néhány napon belül végrehajtják a támadás minden szakaszát. Behatolás után webshell-eket töltenek fel, PowerShell és Command Prompt parancsokat futtatnak, és Cobalt Strike Beacon malware-t telepítenek az áldozatok rendszereire. Az adatlopás nem a fő céljuk, de kisebb mennyiségű adatot (általában néhány száz gigabájtot) exfiltrálnak Cobalt Strike Team Servers vagy Mega.nz segítségével.

A Ghost ransomware végrehajtása során a teljes rendszer vagy bizonyos könyvtárak titkosítása történik, és az áldozatoktól tízezertől több százezer dollárig terjedő váltságdíjat követelnek kriptovalutában. A támadók a titkosítás előtt Windows naplófájlokat törölnek, a Volume Shadow Copy szolgáltatást letiltják, és törlik az árnyékmásolatokat, hogy ellehetetlenítsék az adat-helyreállítást. Az FBI, a CISA és az MS-ISAC ajánlásokat fogalmazott meg a szervezetek számára a támadások elleni védekezéshez, hangsúlyozva a rendszerek frissítésének fontosságát, a sebezhetőségek folyamatos javítását és a megfelelő hálózati védelem alkalmazását.

(forrás)

You May Also Like

Az Egyesült Királyság az adatközpontokat nemzeti kritikus infrastruktúrának minősíti

A CISA négy ipari vezérlőrendszert érintő tanácsot adott ki

Figyelmeztetés kihasznált routerekre