CISA和FBI表示,部署Ghost勒索软件的攻击者已经入侵了来自70多个国家/地区的多个行业部门的受害者,包括关键基础设施组织。
其他受影响的行业还包括医疗保健、政府、教育、技术、制造业以及众多中小型企业。
CISA、FBI和多州信息共享与分析中心(MS-ISAC)在周三发布的联合公告中表示:“从2021年初开始,Ghost攻击者开始攻击那些运行过时版本软件和固件的互联网服务受害者。”
“这种对包含漏洞的网络的无差别攻击,已经导致超过70个国家的组织受到侵害,包括中国的组织。”
Ghost勒索软件的操作者经常轮换他们的恶意软件可执行文件,更改加密文件的扩展名,修改勒索信的内容,并使用多个电子邮件地址进行勒索通信,这常常导致该组织的归属随时间波动。
与该组织相关的名称包括Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada和Rapture,他们在攻击中使用的勒索软件样本包括Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe。
这个以钱财为动机的勒索软件组织,使用公开可访问的代码来利用易受攻击服务器中的安全漏洞。他们针对Fortinet(CVE-2018-13379)、ColdFusion(CVE-2010-2861、CVE-2009-3960)和Exchange(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)中未修补的漏洞。
为了防御Ghost勒索软件攻击,建议网络防御者采取以下措施:
1、定期进行无法被勒索软件加密的异地系统备份;
2、尽快修补操作系统、软件和固件中的漏洞;
3、重点关注Ghost勒索软件针对的安全漏洞(即CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207);
4、对网络进行分段,以限制来自受感染设备的横向移动;
5、对所有特权账户和电子邮件服务账户实施抗钓鱼的多因素认证(MFA)。
在Amigo_A和Swisscom的CSIRT团队于2021年初首次发现Ghost勒索软件后,他们的运营商开始投放定制的Mimikatz样本,随后是CobaltStrike信标,并使用合法的Windows CertUtil证书管理器部署勒索软件有效载荷以绕过安全软件。
除了在Ghost勒索软件攻击中被用于初始访问外,扫描易受攻击的Fortinet SSL VPN设备的国家支持的黑客组织也针对CVE-2018-13379漏洞。
攻击者还滥用了相同的安全漏洞,来入侵可通过互联网访问的美国选举支持系统。
Fortinet在2019年8月、2020年7月、2020年11月和2021年4月多次警告客户修补其SSL VPN设备以防范CVE-2018-13379。
CISA、FBI和MS-ISAC近日发布的联合公告,还包括与FBI调查中最近在2025年1月确定的先前Ghost勒索软件活动相关的入侵指标(IOCs)、战术、技术和程序(TTPs)以及检测方法。
原文作者:Sergiu Gatlan
原文标题:《CISA and FBI: Ghost ransomware breached orgs in 70 countries》
原文链接:
https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/
原文始发于微信公众号(安在):FBI:Ghost勒索软件已入侵包括中国在内的70个国家/地区组织
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论