CISA 和 FBI：Ghost 勒索软件入侵 70 个国家/地区

CISA 和 FBI 表示，部署 Ghost 勒索软件的攻击者已经攻击了 70 多个国家多个行业的受害者，其中包括关键基础设施组织。

受影响的其他行业包括医疗保健、政府、教育、科技、制造业以及众多中小型企业。

CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 在周三发布的联合公告中表示： “从 2021 年初开始，Ghost 攻击者开始攻击那些面向互联网的服务运行着过时版本软件和固件的受害者。”

“这种不加区分地针对存在漏洞的网络的攻击已经导致超过 70 个国家的组织受到攻击，其中包括中国的组织。”

Ghost 勒索软件运营商频繁轮换其恶意软件可执行文件、更改加密文件的文件扩展名、更改其勒索通知的内容，并使用多个电子邮件地址进行勒索通信，这经常导致该团体的归属随着时间的推移而波动。

与该组织有关的名称包括 Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada 和 Rapture，其攻击中使用的勒索软件样本包括 Cring.exe、Ghost.exe、ElysiumO.exe 和 Locker.exe。

这个勒索软件组织以牟利为目的，利用可公开访问的代码来利用易受攻击的服务器中的安全漏洞。他们的目标是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。

为了防御Ghost勒索病毒攻击，建议网络防御者采取以下措施：

1. 定期进行异地系统备份，这些备份无法被勒索软件加密，

2. 尽快修补操作系统、软件和固件漏洞，

3. 重点关注 Ghost 勒索软件针对的安全漏洞（例如 CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207），

4. 隔离网络以限制受感染设备的横向移动，

5. 对所有特权帐户和电子邮件服务帐户强制实施防网络钓鱼的多因素身份验证 (MFA)。

在 2021 年初Amigo_A和Swisscom 的 CSIRT 团队首次发现 Ghost 勒索软件后，其操作员就开始投放定制的 Mimikatz 样本，然后投放 CobaltStrike 信标，并使用合法的 Windows CertUtil 证书管理器部署勒索软件负载以绕过安全软件。

除了在 Ghost 勒索软件攻击中被利用进行初始访问之外，扫描易受攻击的 Fortinet SSL VPN 设备的国家支持的黑客组织还将 CVE-2018-13379 漏洞作为攻击目标。

攻击者还利用同样的安全漏洞来攻击可通过互联网访问的美国选举支持系统。

Fortinet 于2019 年 8 月、2020 年 7 月、2020 年 11 月以及2021 年 4 月多次警告客户修补其 SSL VPN 设备以防范 CVE-2018-13379 漏洞。

CISA、FBI 和 MS-ISAC 今天发布的联合咨询还包括与 FBI 最近在 2025 年 1 月调查期间发现的先前 Ghost 勒索软件活动相关的妥协指标 (IOC)、策略、技术和程序 (TTP) 以及检测方法。

来源：https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/