El FBI y la Agencia Americana de Ciberseguridad (CISA) publicado Una opinión conjunta relacionada con operaciones maliciosas realizadas por China utilizando ransomware fantasma. Los indicadores de compromiso (COI), así como las tácticas, los procedimientos técnicos y de procedimientos (TTP) asociados se identificaron durante una encuesta realizada el mes pasado. Las maniobras de Cybergangs detrás de este Ransomiciel comenzaron sus ataques en 2021, comenzando por atacar a las víctimas cuyos servicios de acceso a Internet utilizaron versiones obsoletas de software y firmware.

"Esta orientación ciega de las redes que presentan vulnerabilidades ha llevado a un compromiso comercial en más de 70 países, incluso en China [...] Las víctimas afectadas incluyen infraestructura crítica, escuelas y universidades, establecimientos de salud, redes gubernamentales, instituciones religiosas, empresas tecnológicas y manufactureras, así como muchas empresas pequeñas y medianas ", En el informe de seguridad. "The actors of the GHOST group modify the useful executable charges of their ransomware, change their extension for encrypted files, modify the text of the ransom note and use many electronic ransom addresses, which has led to a variable attribution of this group over time. The names associated with this group are Ghost, CRINT, CRIGT3R, Phantom, Strike, Strike, Strike, Strike, Strike, Strike, Strike Wickrme, Hsharada and Rapto ", dijo el CISA y el FBI.

Índice
  1. Un modo de operación bien establecido
  2. Medidas de mitigación a seguir

Un modo de operación bien establecido

El vector de ataque inicial consistió en explotar varios defectos no corregidos en sus víctimas: Fortinet Fortios (CVE-2018-13379), los servidores que ejecutan Adobe Coldfusion (CVE2010-2861 y CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604) y Microsoft Exchange (CVE2021-34473,. CVE-2021-34523 y CVE-2021-31207-Commonly llamó a la cadena de ataque proxyshell). Antes de entonces implantar la huelga de cobalto, una herramienta de prueba de intrusión popular a menudo desviada por los piratas para acciones maliciosas, para robar tokens de proceso que operan en el contexto del usuario del sistema para la usurpación para acceder a altos privilegios, recopilar contraseñas, desactivar antivirus ... Los comandos de PowerShell también se han ejecutado en otros sistemas de red objetivo para extender las infecciones.

"Las notas del rescate fantasma a menudo afirman que los datos exfiltrados se venderán si no se paga el rescate. Sin embargo, los actores fantasmas no amplían con frecuencia una gran cantidad de información o archivos, como propiedad intelectual o información personal identificable, lo que podría causar daños significativos a las víctimas en caso de una fuga", dijo el informe. "Los actores de Ghost usan Crung.exe, Ghost.exe, Elysiumo.exe y Locker.exe, que son todos ejecutables de ransomware que comparten funcionalidades similares. Las variantes de fantasmas se pueden utilizar para figuras de repertorio específicos o todo del almacenamiento del sistema.

Medidas de mitigación a seguir

Además de enumerar los COI y los TTP asociados con Ghost, el CISA y el FBI proponen una lista de medidas a seguir para limitar los riesgos de compromiso, que también pueden aplicarse a otros tipos de amenazas. Saber:

- Mantener copias de seguridad del sistema regular.
- Patcher Vulnerabilidades conocidas;
- segmento de las redes;
- Requerir un Phishing MFA para acceder a todas las cuentas privilegiadas y cuentas de servicio de correo;
- Entrenar a los usuarios para reconocer los intentos de phishing;
- Monitorear el uso no autorizado de PowerShell;
- Implementar el principio del menor privilegio al otorgar autorizaciones;
- Configurar listas de autorización para aplicaciones, scripts y tráfico de red para evitar la ejecución y el acceso no autorizados;
- identificar, alertar e investigar las actividades anormales de la red;
- Enumere la exposición de los servicios desactivando puertos no utilizados como RDP 3398, FTP 21 y SMB 445, y restringiendo el acceso a servicios esenciales a través de VPN o firewall configurados de manera segura;
- Fortalezca la seguridad del correo electrónico implementando filtrado avanzado, bloqueando los archivos adjuntos maliciosos y la activación de DMARC, DKIM y SPF para evitar el robo de identidad.