Программное обеспечение для шантажа Ghost поразило компании более чем в 70 странах, предупреждают ФБР и ЦИСА

Агентство Федерального бюро расследований (ФБР) и Управление кибербезопасности и защиты инфраструктуры США (CISA) предупредили о деятельности операторов шифровальщика Ghost. Эти преступные группы атакуют объекты критической инфраструктуры, правительственные учреждения и другие организации. Они проникают в сети через уязвимые конечные точки, которые не были обновлены.

Эксперты заявили, что группировки, использующие вариант шифровальщика Ghost, уже успешно атаковали организации более чем в 70 странах по всему миру. В новом совместном предупреждении о безопасности, опубликованном CISA, ФБР и Центром многозарегистрионного обмена информацией и анализа (MS-ISAC), отмечается, что группы в основном нацелены на организации критической инфраструктуры, но также заинтересованы в здравоохранении, правительстве, технологиях, промышленности и других сферах. Жертвы могут быть как крупными предприятиями, так и малыми и средними организациями (SMB).

«С начала 2021 года акторы Ghost начали атаковать жертв, у которых интернет-сервисы работали на устаревших версиях программного обеспечения и прошивки», — говорится в отчете. «Неспецифическое направление атаки на сети с уязвимостями привело к компрометации организаций более чем в 70 странах, включая организации в Китае».

Различные имена
Поскольку группы используют различные имена, расширения файлов, выкупные заметки и другие элементы, установление их принадлежности было довольно сложным. По всей видимости, они использовали несколько названий, включая Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. Для шифрования исследователи наблюдали такие исполняемые файлы как Cring.exe, Ghost.exe, ElysiumO.exe и Locker.exe.

Чтобы компрометировать своих жертв, группы атакуют непропатченные конечные точки. В большинстве случаев они нацелены на уязвимости Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) и Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Лучший способ защиты от операторов шифровальщика Ghost — это поддерживать обновленное программное и аппаратное обеспечение. Все уязвимости, перечисленные в отчете, уже были исправлены их соответствующими производителями, поэтому снижение риска сводится к применению патча.

Кроме указанных выше уязвимостей, спонсируемые государством хакеры также атаковали CVE-2018-13379 для взлома интернет-соединенных систем поддержки выборов в США. Эта ошибка была исправлена несколько лет назад, и Fortinet неоднократно предупреждало об ее эксплуатации в течение 2019, 2020 и 2021 годов.

Источник: BleepingComputer