#StopRansomware: 고스트 (크링) 랜섬웨어
미국 연방수사국(FBI), 사이버 보안 및 인프라 보안 기관(CISA), 다중 국가 정보 공유 및 분석 센터(MS-ISAC)는 고스트(크링) 랜섬웨어 변종에 대한 정보를 제공하기 위해 공동 자문을 발표했습니다. 중국에 위치한 고스트 악용자는 2021년 초부터 금전적 이익을 위해 광범위한 공격을 수행해 왔으며, 구버전 소프트웨어와 펌웨어를 사용하는 조직을 표적으로 삼았습니다. 이 그룹은 70개 이상의 국가에 있는 조직을 손상시켰으며, 이는 중요 인프라, 학교, 의료, 정부 네트워크 및 중소기업을 포함합니다.고스트 악용자는 공개적으로 사용 가능한 코드를 사용하여 공통 취약점 및 노출(CVE)을 악용하여 인터넷에 노출된 서버에 접근합니다. 그들은 랜섬웨어 실행 파일 페이로드를 회전시키고, 암호화된 파일의 파일 확장자를 전환하며, 몸값 메모의 텍스트를 수정하고, 여러 몸값 이메일 주소를 사용하여 귀속을 어렵게 만듭니다. 이 그룹은 취약점을 악용하고 접근하고 피해자 네트워크 내에서 이동하기 위해 다양한 도구, 특히 코발트 스트라이크(Cobalt Strike)를 사용합니다.이 자문은 고스트 악용자가 사용하는 전술, 기술 및 절차(TTP)에 대한 기술 세부 사항을 제공합니다. 이는 초기 접근, 실행, 지속, 권한 상승, 자격 증명 접근, 방어 회피, 발견, 수평 이동, 데이터 유출 및 명령 및 제어를 포함합니다. 이 그룹은 명령 및 제어 작업을 위해 코발트 스트라이크 비콘 악성 코드와 코발트 스트라이크 팀 서버에 크게 의존합니다.고스트 랜섬웨어 활동의 영향은 피해자별로 크게 다르며, 일반적으로 이 그룹은 암호화 해제 소프트웨어를 교환하기 위해 수십만 달러에서 수백만 달러의 암호화폐를 요구합니다. 이 자문은 조직이 고스트 랜섬웨어 사건의 가능성과 영향을 줄이기 위해 권장 사항을 구현할 것을 권장합니다.