#StopRansomware: Ghost (Cring)... Notiz

#StopRansomware: Ghost (Cring)-Erpressungssoftware

Das Bundesamt für Ermittlung (FBI), die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) und das Multi-State-Information-Sharing-and-Analysis-Center (MS-ISAC) haben eine gemeinsame Warnmeldung herausgegeben, um Informationen über die Ghost-(Cring-)Ransomware-Variante bereitzustellen. Die Ghost-Akteure, die in China ansässig sind, führen seit Anfang 2021 umfangreiche Angriffe durch, um finanzielle Gewinne zu erzielen, indem sie Organisationen mit veralteter Software und Firmware angreifen. Die Gruppe hat Organisationen in über 70 Ländern kompromittiert, darunter kritische Infrastrukturen, Schulen, Gesundheitswesen, Regierungsnetzwerke und kleine und mittelständische Unternehmen.Die Ghost-Akteure nutzen öffentlich verfügbaren Code, um Common Vulnerabilities and Exposures (CVEs) auszunutzen und Zugriff auf internetfacing-Server zu erlangen. Sie rotieren ihre Ransomware-Executable-Payloads, ändern die Dateierweiterungen für verschlüsselte Dateien, ändern den Text der Lösegeldnotiz und verwenden zahlreiche Lösegeld-E-Mail-Adressen, was die Zuordnung erschwert. Die Gruppe verwendet verschiedene Tools, einschließlich Cobalt Strike, um Schwachstellen auszunutzen, Zugriff zu erlangen und sich laterale innerhalb der Opfer-Netzwerke zu bewegen.Die Warnmeldung enthält technische Details über die Taktiken, Techniken und Verfahren (TTPs), die von Ghost-Akteuren verwendet werden, einschließlich des initialen Zugriffs, der Ausführung, der Persistenz, der Privilegien-Eskalation, des Zugriffs auf Anmeldedaten, der Verteidigungsevasion, der Erkennung, der lateralen Bewegung, der Exfiltration und der Befehls- und Kontrolle. Die Gruppe verlässt sich stark auf Cobalt Strike Beacon-Malware und Cobalt Strike-Team-Server für Befehls- und Kontrolloperationen.Der Auswirkungen der Ghost-Ransomware-Aktivitäten variieren stark von Opfer zu Opfer, wobei die Gruppe normalerweise Zehntausende bis Hunderttausende von Dollar in Kryptowährung als Gegenleistung für die Dekodierungssoftware fordert. Die Warnmeldung empfiehlt Organisationen, Empfehlungen umzusetzen, um die Wahrscheinlichkeit und den Auswirkungen von Ghost-Ransomware-Vorfällen zu reduzieren.