被称为"Cring"的幽灵勒索软件(Ghost Ransomware)已成为威胁全球70多个国家组织的重大网络安全威胁。自2021年首次出现以来,该恶意软件变种已迅速发展为最危险的勒索软件家族之一,兼具精密加密技术与激进勒索手段。
2025年2月,美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)联合发布警告,指出幽灵勒索软件的全球攻击活动正在升级。
攻击特征与危害
该恶意软件主要利用面向公众系统的漏洞实施攻击,特别是未打补丁的服务器和遗留应用程序。一旦侵入网络,幽灵勒索软件能以惊人速度完成从入侵到加密的整个攻击周期——通常在24小时内完成,远快于Conti或LockBit等通常需要数周时间运作的知名勒索组织。
这种快速攻击模式使得安全团队几乎没有时间在关键损害发生前检测并响应入侵事件。BlackFog研究人员通过技术指标分析认为,该恶意软件源自中国境内以牟利为目标的网络犯罪团伙。分析显示该组织在暗网使用多个别名,极大增加了溯源和执法难度。
与追求间谍目的的国家支持型威胁行为者不同,幽灵勒索软件似乎完全专注于通过赎金获取经济利益。尽管医疗、能源和金融服务行业遭受的破坏最为严重,但没有哪个行业能够幸免。
精准打击"补丁疲劳"目标
攻击者刻意针对那些受困于"补丁疲劳"的组织——即IT团队因不堪重负而无法及时完成漏洞更新。这种投机取巧的攻击方式甚至对资源充足但忽视及时安全更新的组织也屡屡得手。
幽灵勒索软件的技术复杂性引发了安全专家的高度关注。其双重勒索模式(既威胁永久加密数据,又威胁公开泄露被盗信息)给受害者制造了巨大压力,迫使其支付通常要求以加密货币支付的赎金。这种战术在试图最大化勒索筹码的勒索软件运营商中已变得日益普遍。
感染机制:系统内的"幽灵"
该软件的感染机制展现出惊人的效率,首先会对互联网开放系统进行漏洞扫描。在识别出易受攻击目标后,攻击者会部署Web Shell和Cobalt Strike信标作为后门,建立持久化访问。这些工具使攻击者能够在受害者环境中保持隐蔽存在,同时开展侦察活动。
通过额外漏洞利用或凭证窃取获取管理员权限后,幽灵勒索软件的操作者会创建新用户账户并系统性地禁用安全软件。这种全面控制手段允许攻击者在网络中自由横向移动,在最终加密阶段前窃取有价值数据。
攻击者会精心识别并锁定敏感信息,优先处理包含知识产权、客户数据和财务记录的数据库。在最后阶段,名为Ghost.exe或Cring.exe的可执行文件会对文件进行加密,同时销毁备份。这种协同攻击消除了恢复选项,迫使受害者考虑支付赎金。
赎金通知要求受害者同时支付解密密钥费用和防止信息泄露费用,攻击者通过匿名电子邮件渠道保持沟通,施加心理压力迫使支付。幽灵勒索软件活动是当前最重大的网络安全威胁之一,其全球影响范围、技术复杂性和快速攻击方法给全球组织带来了前所未有的挑战。
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):幽灵勒索软件肆虐全球70余国企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论