Federalni istražni biro (FBI) i Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) objavili su zajedničko savjetodavno upozorenje o raširenim napadima grupe Ghost ransomware , koja je ugrozila preko 70 organizacija u kritičnim sektorima širom svijeta.
Radeći pod pseudonima kao što su Cring, Crypt3r i Phantom, ovi sajber-kriminalci povezani sa državom za koje se sumnja da potiču iz Kine iskorištavaju nezakrpljene ranjivosti u javnim aplikacijama kako bi implementirali varijante ransomware-a kao što su Ghost.exe i Cring.exe.
Napadi, ciljani na sektore uključujući zdravstvo, vladu, obrazovanje i proizvodnju, koriste sofisticirane tehnike za onemogućavanje sigurnosnih protokola, šifrovanje podataka i traženje otkupnine u kriptovaluti.
Iskorištene ranjivosti i početni pristup
Hakeri iskorištavaju dobro dokumentovane zajedničke ranjivosti i izloženosti (CVE) da bi se infiltrirali u mreže, dajući prioritet zastarjelim sistemima koji nemaju kritične zakrpe.
Ključne ranjivosti uključuju CVE-2018-13379 u Fortinet FortiOS uređajima, CVE-2010-2861 i CVE-2009-3960 u Adobe ColdFusion serverima i Microsoft Exchange ranjivosti CVE-2021-34473, CVE-3022 CVE-2021-31207 (dio lanca napada ProxyShell).
Ova eksploatacija omogućava napadačima da učitaju web shell i izvrše maliciozne korisne sadržaje putem PowerShell-a ili komandne linije.
Jednom u mreži, hakeri brzo onemogućuju sigurnosne mjere koristeći naredbe kao što su:
Ova PowerShell skripta deaktivira Windows Defender-ov nadzor u realnom vremenu, spriječavanje upada i skeniranje skripte – kritičnu odbranu koja bi inače mogla otkriti aktivnost ransomware-a.
Grupa zatim implementira izvršne datoteke ransomware-a kao što su ElysiumO.exe ili Locker.exe, koje šifruju datoteke dok isključuju sistemski kritične direktorije kako bi se izbjeglo pretvaranje uređaja u nefunkcionisanje.
Šifrovanje je praćeno brisanjem Volume Shadow Copies i Windows Event Logs, što ometa forenzičke napore za oporavak.
Komandna i kontrolna infrastruktura
Hakeri se uveliko oslanjaju na Cobalt Strike Beacon, alat za testiranje penetracije namijenjen za maliciozne komandne i kontrolne (C2) operacije. C2 komunikacija se odvija preko HTTP/HTTPS-a, često koristeći direktne IP adrese umjesto domena.
Za eksfiltraciju se primjećuju ograničeni prenosi podataka na platforme kao što su Mega.nz ili Cobalt Strike Team Serveri, iako Ghost obično prijeti curenjem podataka umjesto da izvrši eksfiltraciju velikih razmjera.
Metodologija napada i taktičko napredovanje
Ghost operacije daju prednost brzini, često napredujući od početnog kompromisa do implementacije ransomware-a u roku od nekoliko sati. Bočno kretanje se postiže putem komandne linije Windows Management Instrumentation (WMIC) i kodiranih PowerShell skripti, kao što su:
Ova skripta izvršava Cobalt Strike Beacon u memoriji, omogućavajući prikrivenu isporuku tereta. Alati poput SharpShares i Ladon 911 olakšavaju otkrivanje dijeljenja mreže i skeniranje ranjivosti SMB (CVE-2017-0143/0144).
Dok Ghost minimazuje mehanizme postojanosti, oni kreiraju lokalne/domenske račune i koriste alate otvorenog koda kao što su BadPotato i GodPotato za eskalaciju privilegija.
Ovi alati iskorištavaju lažno predstavljanje Windows tokena da bi dobili pristup na nivou SISTEMA, što je ključno za implementaciju sekundarnog korisnog opterećenja.
Strategije ublažavanja i najbolje prakse
- Upravljanje zakrpama: Dajte prioritet ranjivostima u zakrpama kao što su CVE-2018-13379 i ProxyShell CVE-ovi unutar vremenskih okvira na osnovu podataka o riziku.
- Segmentacija mreže: Implementirajte striktnu segmentaciju da biste ograničili bočno kretanje kompromitovanih uređaja.
- MFA otporan na krađu identiteta : Nametnite MFA za sve privilegovane račune i račune usluga e-pošte kako biste spriječili krađu akreditiva.
- Integritet sigurnosne kopije : Održavajte vanmrežne, nepromjenjive sigurnosne kopije kako biste omogućili oporavak bez plaćanja otkupnine.
Organizacije treba da prate anomalnu aktivnost PowerShell-a, neovlaštenu upotrebu alata kao što je SharpZeroLogon i neočekivana skeniranja mreže.
Analitika ponašanja može otkriti obrasce kao što su masovno šifrovanje datoteka ili brisanje dnevnika obilježja aktivnosti ransomware-a.
Pridržavajući se CISA-inih ciljeva performansi međusektorske sajber sigurnosti (CPG) i usvajanjem slojevite strategije odbrane koja obuhvata pravovremeno zakrpe, segmentaciju mreže i rigorozne kontrole pristupa, organizacije mogu ublažiti rizike koje predstavljaju Ghost i slični hakeri.
Izvor: CyberSecurityNews
