暗网简介：GhostSec

    GhostSec 是五家族的重要成员 ，在最近与另一个五家族附属威胁组织Stormous发生双重勒索软件攻击后，最新研究引起了广泛关注  。研究人员和该组织本身声称，该组织最初据称与“匿名者”组织有联系，通常被认为是治安黑客，该组织承担了打击互联网上极端主义内容和活动的责任，在 ISIS 刚出现时就明确针对该组织。

GhostSec 的 Telegram 徽标之一

    该组织仍然坚持其运营，制作自己的工具，在暗网上提供教程，并从事各种其他活动。尽管如此，问题仍然存在：GhostSec 主要是一个 黑客行动 团体、一个具有威胁性的威胁组织，还是渴望转变为一个勒索软件实体？

GhostSec 是谁

    GhostSec 诞生于 2015 年，据称是著名黑客组织 Anonymous的残余势力，与前身相比，GhostSec 有着明显的侧重点。虽然 Anonymous 参与了各种行动，但 GhostSec 的主要目标是打击网络恐怖主义和暴力极端主义。凭借一支由黑客和“网络安全”爱好者组成的熟练团队，他们很快因其对抗在线极端主义团体的非正统方法而获得认可。该组织甚至 声称 ，其部分成员在当年与美国政府的一次所谓的会议期间受雇于政府机构。

    正如他们所说，GhostSec 的最初任务围绕着一个有点模糊的目标，即破坏 ISIS（伊拉克和叙利亚伊斯兰国）和基地组织等恐怖组织的在线存在和通信。然而，虽然该组织最初在 以色列与哈马斯的冲突中表现出中立，但后来他们宣布支持巴勒斯坦，反对他们认为以色列犯下的战争罪行。

由于近期媒体关注，GhostSec也发布了一段自我介绍视频

    他们的策略包括识别与极端主义团体相关的社交媒体帐户、网站和在线平台，然后发起精确的网络攻击，使它们下线。据称，GhostSec使用各种黑客技术，从分布式拒绝服务 ( DDoS ) 攻击到篡改和数据泄露，试图破坏这些组织的宣传工作。

    因此，他们从不回避网络犯罪活动，并在 Telegram 频道上分享他们的广告，例如初始访问销售。

GhostSec 最近的首次访问销售

    此外，尽管他们的意图崇高，但他们还开发了模块化勒索软件，他们可能会将其出售给任何人。

GhostSec

    2023 年 10 月，GhostSec 首次受到监测，推出了新一代 勒索软件即服务 (RaaS) 模型，称为 GhostLocker，将其视为专为“企业”使用量身定制的革命性加密软件解决方案。根据他们的营销，GhostLocker 经过了详细的改进，为潜在客户提供了一系列有吸引力的功能。这些功能包括运行时的军用级加密以及完全隐秘性的保证。此外，他们在成功违规后提供协商管理服务，这将 GhostLocker 与其他 RaaS 竞争对手区分开来。

    GhostLocker 用 Golang 编写，当前 v2 的售价为 1,199 美元，该组织表示将继续在 V3 上工作，而且价格也会上涨。GhostSec 发布了一段概念验证视频，展示了他们的定制恶意软件如何加密数据并逃避防病毒软件的检测。对于这种“高贵的勒索软件”来说，被研究和媒体重新带回聚光灯下无疑是一个很好的广告机会。

GhostLocker 勒索信

GhostLocker 联系面板

双勒索软件操作

    思科的最新研究强调了一些要点，Talos 观察到黑客组织 GhostSec 造成的恶意活动显着增加。该组织经历了重大演变，推出了名为 GhostLocker 2.0 的勒索软件新版本，它是原始 GhostLocker 勒索软件的 Golang 变体。

    此外，GhostSec 和另一个名为 Stormous 的组织联手对多个国家的各个业务部门实施双重勒索勒索软件攻击。此次合作导致建立了一个名为STMX_GhostLocker的新勒索软件即服务 (RaaS) 计划 ，为其附属机构提供一系列选项。

    此外，Talos 在 GhostSec 的武器库中发现了两个新工具：“GhostSec 深度扫描工具”和“GhostPresser”。这些工具很可能被用于针对网站的攻击，从而增强了该组织的能力和渗透方法。

    根据我们的监控，各种新闻媒体都在传播不准确的信息，过时的指控表明 GhostSec 与 Stormous 组织的合作是最近的事态发展。GhostSec  至少从 2023 年下半年开始就与 Stormous 合作。思科 Talos 还表示，他们在这一年中观察到了这些活动。然而，根据我们的 研究，这种合作的痕迹甚至可以延续到2022年。

    在“五大家族”黑客集体的保护下，ThreatSec、GhostSec、Storous、Blackforums 和 SiegedSec 最初形成了一个类似于黑手党家族结构的有凝聚力的五人联盟。然而，SiegedSec 可能因他们的行为而被驱逐出集体，导致该团体由四个实体组成。尽管可能发生这种变化，这些威胁团体有着长期的相互支持和合作的历史。

五家族关于 SiegedSec 的声明

攻击目标

    根据 Talos 对这些组织的 Telegram 频道和 Stormous 勒索软件数据泄露网站上发布的披露消息的分析，GhostSec 和 Stormous 勒索软件组织已被发现合作执行大量双重勒索攻击。这些攻击涉及利用 GhostLocker 和 StormousX 勒索软件程序针对不同国家的受害者，包括古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国、印度

    根据这些团体在其 Telegram 频道上分享的信息，此次合作行动针对的是不同行业的受害者。

GhostSec 和 Stormous 组织 ( Talos )受影响的行业

    尽管 Talos 的研究忽略了这些团体的集体受害者情况，但 Stormous 还运营了一个数据泄露网站，该网站从事受害者共享，与 GhostSec 不同，并将这些网站纳入框架中以查看完整情况，提供当前和未来的威胁覆盖范围。

受风暴影响的国家

    与共同的受害者学相反，如果我们根据 SOCRadar 的数据来看 Stormous 的活动，我们必须说美国和欧洲国家在受害者选择方面表现突出。

Stormous 的目标行业

    尽管目标行业的情况更加接近，但我们必须说，威胁超出了特定行业。特别是，尽管 GhostLocker 所谓的规则不针对教育和医疗保健等敏感行业，但 Stormous 过去曾攻击过这些行业。

    他们还为这两个勒索软件操作提供了一个新平台。直到最近，GhostSec 还没有一个羞辱受害者的数据泄露网站。正如 Talos 所说，Stormous 勒索软件和 GhostSec 在 TOR 网络上建立了其勒索软件即服务 (RaaS) 计划 GhostLocker 的官方博客。该博客为附属机构提供了注册其计划并披露受害者数据的功能。它的仪表板显示受害者的统计和受害者信息的披露，以及泄露数据的链接。

作案手法

    根据 Talos 的研究，GhostLocker 2.0 的工作原理是使用“.ghost”文件扩展名加密受害者计算机上的文件，并提供新版本的勒索字条。此更新的说明建议用户保护其中显示的加密 ID，并在协商过程中通过单击“单击我”通过聊天服务共享它。此外，运营商警告说，如果在 7 天内未能联系他们，将导致受害者被盗数据的泄露。

    此外，GhostLocker RaaS 还为附属机构提供了访问控制面板的权限，他们可以在其中监督自己的攻击和收益。一旦部署在受害者的计算机上，勒索软件二进制文件就会连接到控制面板，从而允许附属机构监控 加密 进度。Talos 已识别出位于俄罗斯莫斯科的 GhostLocker 2.0 C2 服务器，其地理位置与 Uptycs 安全研究人员报告的勒索软件之前版本一致。

    GhostLocker RaaS 的附属公司提供勒索软件构建器面板，授予配置选项，例如持久模式、加密目标目录以及绕过检测的规避技术，包括终止进程、服务或计划任务。

    GhostLocker 2.0 于 2023 年 11 月 15 日被 Talos 在野外发现（一个月前已出售并做广告）。GhostLocker 2.0 与用 Python 编写的前身 GhostLocker 功能相似，不同之处在于省略了用于启动勒索软件二进制文件的看门狗组件，并采用 128 位 AES 加密而不是 256 位。

GhostLocker的持久化机制（Talos）

    执行后，GhostLocker 2.0 通过将自身复制到 Windows 启动文件夹来建立持久性，并生成随机文件名。随后，它连接到 C2 服务器，生成加密密钥，并收集受害者信息以创建发送到控制面板的 JSON 文件。

启动与C2（Talos）连接的功能

    在注册受害者的感染后，GhostLocker 2.0 尝试通过终止其配置中定义的进程或计划任务来逃避检测。然后，它根据预定义的扩展名搜索目标文件，将它们渗透到 C2 服务器，并对它们进行加密，并附加“ .ghost ”扩展名。最后，勒索软件会在受害者的桌面上投放勒索字条，并使用 Windows“开始”命令启动它。

结论

    对 GhostSec 活动的审查，特别是与 Stormous 的合作，揭示了该组织的演变及其对复杂网络行动的参与。尽管 GhostSec 起源于黑客组织 Anonymous，但它们已转向更加隐蔽的活动，包括勒索软件操作以及与其他威胁组织的合作。他们开发的 GhostLocker 2.0 和即将推出的 3.0 版本等工具展示了他们的适应性和技术实力，凸显了网络安全领域正在进行的军备竞赛。

    GhostSec 和 Stormous 在双重勒索勒索软件攻击中的合作表明了威胁行为者的融合以及网络威胁日益复杂的情况。GhostLocker-Stormous RaaS 计划在 TOR 网络上的建立进一步凸显了该集团扩大业务和货币化能力的努力，以及这两个实体未来可能完全合并

    然而，在他们的活动中，GhostSec 的身份和动机仍然存在疑问。他们仍然受到黑客行动主义理想的驱动，还是完全接受网络犯罪活动？我们认为答案是明确的，但是，黑客行动主义和网络犯罪之间的模糊界限引起了人们对该组织的道德立场及其行为对全球个人和组织的潜在影响的担忧。

缓解策略：防御勒索软件

定期数据备份和恢复： 为关键数据建立强大的备份策略，确保定期备份在离线或隔离环境中安全地执行和存储。实施自动备份解决方案以最大限度地减少人为错误并确保数据完整性。制定并定期测试全面的数据恢复计划，以最大限度地减少勒索软件攻击时的停机时间。

补丁管理和漏洞修复： 维护最新的软件和系统补丁，以解决勒索软件利用的已知漏洞。实施集中式补丁管理系统，以简化整个组织基础设施中安全更新的部署。定期进行漏洞评估，并根据勒索软件威胁的风险程度确定修复工作的优先级。

端点保护和安全软件： 部署先进的 端点 保护解决方案，配备基于行为的检测、机器学习算法和实时威胁情报，以检测和阻止端点级别的勒索软件攻击。实施强大的防病毒、反恶意软件和入侵防御系统 (IPS)，以提供针对勒索软件和其他恶意软件威胁的多层防御。

电子邮件安全和网络钓鱼意识： 加强 电子邮件 安全防御，防止通过网络 钓鱼攻击 和恶意电子邮件附件传播勒索软件。部署电子邮件过滤和反网络钓鱼解决方案，在可疑电子邮件到达最终用户之前检测并阻止它们。定期进行安全意识培训，向员工介绍网络钓鱼技术、勒索软件威胁以及识别和报告可疑电子邮件的最佳实践。

网络分段和访问控制： 分段网络环境以遏制勒索软件感染的传播并限制基础设施内的横向移动。实施最小权限访问控制以限制用户权限并限制勒索软件对关键系统和数据的影响。监控网络流量是否有勒索软件活动的迹象以及表明横向移动的异常行为。

事件响应和应急计划： 制定并定期更新专门针对勒索软件事件的事件响应计划，概述用于检测、遏制和减轻勒索软件攻击的角色、职责和程序。建立沟通渠道和升级程序，以促进及时响应事件并与内部利益相关者、执法部门和外部网络安全合作伙伴进行协调。

威胁情报和信息共享： 订阅威胁情报源并参与信息共享计划，以随时了解新出现的勒索软件威胁、攻击技术和 妥协指标 (IoC)。利用威胁情报增强检测能力，识别潜在的勒索软件感染，并主动防御不断发展的勒索软件活动。

加密和数据丢失防护 (DLP)：对 静态和传输中的敏感数据进行加密，以防止勒索软件运营商进行未经授权的访问和泄露。实施数据丢失防护 (DLP) 解决方案来监控和执行安全处理敏感信息的策略，防止可能被勒索软件攻击利用的意外或故意数据泄露。

定期安全审计和渗透测试： 定期进行安全审计和渗透测试练习，以评估勒索软件防御的有效性、识别漏洞并验证事件响应程序。利用安全评估结果确定修复工作的优先级，并改善针对勒索软件威胁的整体安全态势。

持续监控和威胁追踪： 实施持续监控功能，实时检测和响应勒索软件威胁，利用安全信息和事件管理 ( SIEM ) 系统、端点检测和响应 (EDR) 解决方案以及威胁追踪技术来主动识别和响应勒索软件威胁。在勒索软件活动造成重大损害之前将其消灭。

原文始发于微信公众号（OSINT研习社）：暗网简介：GhostSec