RSS CISA Советы по кибербезопасности
Подписаться
#СтопРэйнсомуэр: Призрак (Кринг) Рэйнсомуэр
Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и безопасности инфраструктуры (CISA) и Многоуровневый центр обмена информацией и анализа (MS-ISAC) выпустили совместное обращение для предоставления информации о варианте программы-вымогателя Ghost (Cring). Акторы Ghost, находящиеся в Китае, проводят широкомасштабные атаки с целью финансовой выгоды с начала 2021 года, атакуя организации с устаревшим программным обеспечением и прошивкой. Группа скомпрометировала организации более чем в 70 странах, включая критическую инфраструктуру, школы, здравоохранение, государственные сети и малые и средние предприятия.Акторы Ghost используют общедоступный код для эксплуатации уязвимостей и получения доступа к серверам, доступным через Интернет. Они ротируют исполняемые файлы программы-вымогателя, меняют расширения файлов для зашифрованных файлов, изменяют текст требования выкупа и используют множество адресов электронной почты для выкупа, что затрудняет атрибуцию. Группа использует различные инструменты, включая Cobalt Strike, для эксплуатации уязвимостей, получения доступа и перемещения по сети жертвы.Обращение предоставляет технические подробности о тактиках, методах и процедурах (TTP), используемых акторами Ghost, включая первоначальный доступ, выполнение, сохранение, повышение привилегий, доступ к учетным данным, обход защиты, обнаружение, перемещение по сети, выгрузку данных и управление. Группа в значительной степени полагается на вредоносное ПО Cobalt Strike Beacon и серверы команды Cobalt Strike для управления и контроля.Воздействие деятельности программы-вымогателя Ghost варьируется в зависимости от жертвы, а группа обычно требует десятки или сотни тысяч долларов в криптовалюте в обмен на программное обеспечение для расшифровки. Обращение рекомендует организациям реализовать рекомендации для снижения вероятности и воздействия инцидентов с программой-вымогателем Ghost.