Ghost (noto anche come Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture) funziona in modo diverso rispetto a molte altre minacce ransomware: non rimane nelle reti né si basa su elaborati phishing . Al contrario, agisce rapidamente, entrando ed uscendo nel giro di pochi giorni, spesso lanciando il suo attacco ransomware lo stesso giorno in cui ottiene l'accesso.
Anziché ricorrere all'ingegneria sociale, Ghost sfrutta Ghost le vulnerabilità note nei software obsoleti, rendendo particolarmente vulnerabili le organizzazioni con sistemi non aggiornati.
A differenza dei gruppi che rubano e vendono dati, l'obiettivo principale Ghostè crittografare e chiedere un riscatto: blocca i file, richiede il pagamento e passa oltre, lasciando alle vittime poco tempo per reagire.
Come funziona Ghost
Accesso iniziale: sfruttamento delle vulnerabilità visibili al pubblico
Ghost non utilizzano phishing o le tattiche di ingegneria sociale come punto di accesso principale. Al contrario, sfruttano in modo aggressivo le vulnerabilità note nei sistemi accessibili al pubblico, tra cui:
- Fortinet FortiOS (CVE-2018-13379)
- Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960)
- Microsoft SharePoint (CVE-2019-0604)
- Vulnerabilità ProxyShell di Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
Sfruttando i software non aggiornati, Ghost possono ottenere l'accesso iniziale a una rete senza richiedere l'interazione dell'utente, rendendo i loro attacchi più difficili da prevenire.
Esecuzione rapida e crittografia
Una volta entrato in una rete, Ghost agisce rapidamente:
- Elevazione dei privilegi: gli aggressori utilizzano strumenti come SharpZeroLogon e BadPotato per ottenere l'accesso a livello di SISTEMA.
- Disattivazione degli strumenti di sicurezza: Ghost disattivano Windows Defender e altre soluzioni antivirus per evitare di essere individuati.
- Movimento laterale: si diffondono nella rete utilizzando comandi PowerShell e Windows Management Instrumentation (WMI).
- Crittografia dei file: il payload del ransomware (Ghost.exe, Ghost.exe o ElysiumO.exe) crittografa i file, rendendoli inaccessibili.
- Richiesta di riscatto: viene lasciato un biglietto in cui si chiedono da decine a centinaia di migliaia di dollari in criptovaluta per ottenere le chiavi di decrittazione.
Persistenza limitata ed esfiltrazione dei dati
A differenza di altri operatori ransomware che stabiliscono una persistenza a lungo termine, Ghost completano il loro attacco in pochi giorni. La CISA ha osservato che la persistenza non è una priorità per questo gruppo. Sebbene si verifichino alcuni casi di esfiltrazione di dati (spesso utilizzando Cobalt Strike Servers o cloud Mega.nz), Ghost si concentrano principalmente sulla crittografia dei dati piuttosto che sul loro furto.
Perché gli strumenti di sicurezza tradizionali non riescono a fermare Ghost
Ghost non è una tipica minaccia informatica. Bypassa le misure di sicurezza tradizionali come firewall, Endpoint and Response (EDR), Intrusion Detection Systems (IDS) e persino le soluzioni Security Information and Event Management (SIEM). Questi strumenti si basano in larga misura su firme di attacco note, linee guida comportamentali e rilevamento basato su regole, ma Ghost troppo velocemente, sfrutta le vulnerabilità pubbliche ed elude il rilevamento abbastanza a lungo da portare a termine il suo attacco.
1. Ghost le vulnerabilità esposte al pubblico
Ghost utilizza phishing allegati e-mail malware. Sfrutta invece direttamente le vulnerabilità dei software non aggiornati di Fortinet, Microsoft Exchange e Adobe ColdFusion. Gli strumenti di sicurezza tradizionali spesso non riescono a segnalare le applicazioni legittime ma vulnerabili che vengono sfruttate.
2. Ghost troppo velocemente per essere rilevato con metodi basati sul comportamento
Molte soluzioni di sicurezza si basano sul rilevamento delle anomalie e sul monitoraggio endpoint . Tuttavia, Ghost eseguono i loro attacchi nel giro di poche ore o giorni, spesso crittografando i dati lo stesso giorno in cui ottengono l'accesso. Quando i sistemi SIEM aggregano e analizzano i log, il danno è già stato fatto.
3. Ghost della terra con strumenti Windows nativi
Ghost si integra perfettamente con le attività legittime del sistema abusando dei componenti nativi di Windows come PowerShell, Windows Command Shell e Windows Management Instrumentation (WMI). Questi strumenti integrati, comunemente utilizzati per l'amministrazione IT, rendono difficile per i prodotti di sicurezza distinguere le azioni dannose dalle operazioni legittime. Grazie alla tecnica "living off the land" (LotL), Ghost il rilevamento mentre si muove lateralmente attraverso la rete, eseguendo comandi e distribuendo ransomware senza essere notato.
4. Ghost le misure di sicurezza
Ghost disattivaGhost Windows Defender, il software antivirus e altre endpoint , neutralizzando molte difese tradizionali prima di lanciare il payload del ransomware.
5. Ghost rapidamente senza bisogno di persistenza
Poiché Ghost non stabiliscono una persistenza a lungo termine, gli strumenti di sicurezza tradizionali che cercano minacce prolungate potrebbero non riuscire a rilevarli prima che avvenga la crittografia.
Come Vectra AI e blocca Ghost tempo reale
Ghost si muove troppo velocemente per le soluzioni di sicurezza tradizionali, spesso eseguendosi entro poche ore dall'accesso iniziale. SIEM, EDR e altri strumenti basati su regole impiegano troppo tempo per analizzare i log e rilevare i modelli, lasciando i difensori diversi passi indietro rispetto all'attacco. Vectra AI, invece, è in grado di rilevare e dare priorità alle minacce in pochi minuti, molto più velocemente rispetto alle soluzioni tradizionali, che possono impiegare ore o addirittura giorni per rispondere. Sfruttando il rilevamento e la risposta alle minacce basati sull'intelligenza artificiale, Vectra AI ai team di sicurezza un vantaggio fondamentale per fermare Ghost inizi la crittografia.
Perché Vectra AI la sicurezza tradizionale
1. Attack Signal Intelligence artificiale per l Attack Signal Intelligence
Ghost vive della terra, abusando degli strumenti nativi di Windows come PowerShell e WMI per mimetizzarsi con le normali attività amministrative. Vectra AI questi comportamenti sottili degli aggressori in tempo reale, molto prima che inizi la crittografia, cosa che gli strumenti tradizionali basati su firme non riescono a fare.
2. Rilevamento precoce dei movimenti laterali nascosti
Ghost rapidamente utilizzando SMB, WMI e RDP, diffondendosi nella rete prima ancora che i difensori si rendano conto che è in corso un attacco. Vectra AI identifica i movimenti laterali furtivi, anche quando sono mascherati da normali attività amministrative.
3. Priorità delle minacce in tempo reale
Le soluzioni tradizionali generano troppi avvisi, troppo tardi, rendendo difficile per i team di sicurezza reagire in tempo. Vectra AI elimina il rumore di fondo, mettendo in correlazione i comportamenti ed evidenziando le minacce reali, in modo che i difensori possano agire immediatamente.
4. Risposta automatizzata e contenimento
Quando Ghost la fase di movimento laterale, Vectra AI già intensificato la minaccia per la riparazione automatica. Gli host compromessi vengono isolati prima dell'inizio della crittografia, bloccando l'esecuzione Ghostprima che si verifichino danni diffusi.
5. Prevenzione oltre le firme
Poiché Ghost modifica frequentemente le richieste di riscatto, i payload e gli indicatori di attacco, la sicurezza basata sulle firme non riesce a stare al passo. L'approccio basato sull'intelligenza artificialeVectra AIrileva i comportamenti sottostanti degli aggressori, indipendentemente dalla variante del payload.
La sicurezza tradizionale è troppo lenta: solo l'intelligenza artificiale può fermare Ghost tempo
Ghost sfrutta le lacune nella sicurezza tradizionale, muovendosi troppo rapidamente perché firewall, EDR, IDS e soluzioni SIEM possano reagire in tempo. Per difendersi da questi attacchi ransomware rapidi, le organizzazioni hanno bisogno di un sistema di rilevamento e risposta basato sull'intelligenza artificiale e sul comportamento. Vectra AI e risponde in tempo reale, bloccando Ghost altri attori dannosi in pochi minuti anziché in ore o giorni.
Per scoprire come Vectra AI proteggere la tua organizzazione dal ransomware, approfondisci la conoscenza della nostra piattaforma o richiedi una demo oggi stesso.