警报：超 15 个国家众多行业遭到双重勒索软件攻击

思科Talos的研究员Chetan Raghuprasad在一份报告中指出：“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。”

“GhostLocker和Stormous勒索软件已推出一项新的勒索即服务（RaaS）计划，名为STMX_GhostLocker，旨在为附属机构提供多样选择。”

这一组织发动的攻击涵盖了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚等国家的受害者。

技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。

GhostSec（切勿与Ghost Security Group混淆，后者也被称为GhostSec）是“五大家族”联盟的一部分，该联盟还包括ThreatSec、Stormous、Blackforums和SiegedSec。

该组织成立于2023年8月，旨在“促进互联网地下世界的团结与联系，扩大并发展我们的工作和运营。”

去年年底，该网络犯罪组织通过GhostLocker进军勒索软件即服务（RaaS），以每月269.99美元的价格向其他参与者提供服务。随后，Stormous勒索软件组织宣布将采用基于Python的勒索软件进行攻击。

Talos最新的调查结果显示，这两个组织联手不仅涉及广泛领域的攻击，而且在2023年11月发布GhostLocker的更新版本，并于2024年推出了名为STMX_GhostLocker的全新RaaS计划。

Raghuprasad解释道：“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务（PYV服务）。”

STMX_GhostLocker在暗网上设有自己的泄密网站，上面列示了至少6名来自印度、乌兹别克斯坦、印尼、波兰、泰国和阿根廷的受害者。

GhostLocker 2.0（又称GhostLocker V2）是用Go编写的，号称完全高效并提供快速的加密/解密功能。它还配有修改后的勒索信，督促受害者在7天内联系他们，否则就有泄露数据的风险。

RaaS计划允许附属机构通过网络面板追踪运营、监控加密状态和支付情况，并提供一个构建器，根据其偏好配置负载，包括待加密目录以及加密过程开始前需终止的进程和服务。

一旦部署，勒索软件将与命令和控制（C2）面板建立连接，继续执行加密例程，但在此之前将终止指定进程或服务，并窃取与特定扩展名列表匹配的文件。

Talos表示，他们发现GhostSec可能使用两种新工具破坏合法网站。“其中之一是‘GhostSec深度扫描工具集’，用于递归扫描合法网站，另一个是名为‘GhostPresser’的进行跨站点脚本（XSS）攻击的黑客工具，”Raghuprasad解释。

GhostPresser的主要目的是入侵WordPress网站，允许威胁行为者更改网站设置、添加新插件和用户，甚至安装新主题，这表明GhostSec致力于壮大其武器库。

“该组织宣称他们使用该工具攻击受害者，但我们无法验证这些说法。勒索软件运营商可能会因多种原因使用该工具，”Talos告诉《黑客新闻》。

“深度扫描工具可用来寻找进入受害者网络的途径，而GhostPresser工具不仅危害受害者网站，还可以用于暂存有效载荷以进行分发，以避免使用攻击者基础设施。”