Ransomware Ghost : Colpisce prima ancora di accorgersi della sua presenza

26 febbraio 2025

Ransomware Ghost : Colpisce prima ancora di accorgersi della sua presenza

Il ransomwareGhost (noto anche come Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture) opera in modo diverso da molte altre minacce ransomware: non indugia nelle reti né si affida a elaborati schemi phishing . Si muove invece rapidamente, entrando e uscendo nel giro di pochi giorni e spesso lanciando il suo attacco ransomware il giorno stesso in cui ottiene l'accesso.

Piuttosto che utilizzare l'ingegneria sociale, Ghost sfrutta principalmente le vulnerabilità note del software obsoleto, rendendo particolarmente vulnerabili le organizzazioni con sistemi privi di patch.

A differenza dei gruppi che rubano e vendono dati, l'obiettivo principale di Ghostè quello di criptare e chiedere un riscatto: blocca i file, chiede il pagamento e passa oltre, lasciando poco tempo alle vittime per reagire.

Come funziona il ransomware Ghost

Accesso iniziale: sfruttamento delle vulnerabilità rivolte al pubblico

Gli attori Ghost non si affidano a e-mail phishing o a tattiche di social engineering come punto di ingresso primario. Sfruttano invece in modo aggressivo le vulnerabilità note dei sistemi pubblicamente accessibili, tra cui:

Fortinet FortiOS(CVE-2018-13379)
Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
Microsoft SharePoint(CVE-2019-0604)
Vulnerabilità di Microsoft Exchange ProxyShell(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)

Sfruttando software non patchati, gli attori Ghost possono ottenere l'accesso iniziale a una rete senza richiedere l'interazione dell'utente, rendendo i loro attacchi più difficili da prevenire.

Esecuzione e crittografia rapide

Una volta entrato in una rete, il ransomware Ghost si muove rapidamente:

Escalation dei privilegi: Gli aggressori utilizzano strumenti come SharpZeroLogon e BadPotato per ottenere l'accesso a livello di SISTEMA.
Disabilitazione degli strumenti di sicurezza: Gli attori Ghost disattivano Windows Defender e altre soluzioni antivirus per evitare il rilevamento.
Movimento laterale: Si diffondono nella rete utilizzando comandi PowerShell e Windows Management Instrumentation (WMI).
Crittografia dei file: Il Ghost del ransomware - Ghost.exe, Ghost.exe o ElysiumO.exe - cripta i file, rendendoli inaccessibili.
Richiesta di riscatto: Viene lasciata una nota che richiede da decine a centinaia di migliaia di dollari in criptovaluta per le chiavi di decrittazione.

Persistenza limitata ed esfiltrazione dei dati

A differenza di altri operatori di ransomware che stabiliscono una persistenza a lungo termine, gli attoriGhost completano il loro attacco entro pochi giorni. Il CISA ha osservato che la persistenza non è una priorità per questo gruppo. Sebbene si verifichi un'esfiltrazione dei dati, spesso utilizzando i server Cobalt Strike Team o il cloud storage di Mega.nzGhost gli attori di Ghost si concentrano principalmente sulla crittografia dei dati piuttosto che sul loro furto.

Perché gli strumenti di sicurezza tradizionali non riescono a fermare il ransomware Ghost

Il ransomware Ghost non è una minaccia informatica tipica. Riesce ad aggirare le misure di sicurezza tradizionali come firewall, EDR ( Endpoint Detection and Response), IDS (Intrusion Detection Systems) e persino le soluzioni SIEM (Security Information and Event Management). Questi strumenti si basano in larga misura su firme di attacco note, linee di base comportamentali e rilevamento basato su regole, ma Ghost opera troppo velocemente, sfrutta vulnerabilità pubbliche ed elude il rilevamento abbastanza a lungo da completare il suo attacco.

1. Ghost sfrutta le vulnerabilità rivolte al pubblico

Ghost non utilizza phishing o allegati e-mail malware. Sfrutta invece direttamente le vulnerabilità software non patchate di Fortinet, Microsoft Exchange e Adobe ColdFusion. Gli strumenti di sicurezza tradizionali spesso non riescono a segnalare le applicazioni legittime ma vulnerabili che vengono sfruttate.

2. Ghost si muove troppo velocemente per il rilevamento basato sul comportamento

Molte soluzioni di sicurezza si basano sul rilevamento delle anomalie e sul monitoraggio del comportamento endpoint . Tuttavia, gli operatoriGhost eseguono i loro attacchi nel giro di ore o giorni, spesso criptando i dati lo stesso giorno in cui ottengono l'accesso. Quando i sistemi SIEM aggregano e analizzano i log, il danno è già fatto.

3. Ghost vive della terra con strumenti nativi di Windows

Il ransomware Ghost si confonde perfettamente con le attività legittime del sistema abusando di componenti nativi di Windows come PowerShell, Windows Command Shell e Windows Management Instrumentation (WMI). Questi strumenti integrati, comunemente utilizzati per l'amministrazione IT, rendono difficile per i prodotti di sicurezza distinguere le azioni dannose dalle operazioni legittime. Vivendo in modo autonomo (LotL), Ghost evita di essere rilevato mentre si muove lateralmente attraverso la rete, esegue comandi e distribuisce ransomware senza essere notato.

4. Ghost disabilita le misure di sicurezza

Ghost disabilita attivamente Windows Defender, il software antivirus e altre protezioni endpoint , neutralizzando molte difese tradizionali prima di lanciare il payload del ransomware.

5. Ghost colpisce velocemente, senza bisogno di insistere.

Poiché gli attori Ghost non stabiliscono una persistenza a lungo termine, gli strumenti di sicurezza tradizionali alla ricerca di minacce durature potrebbero non riuscire a rilevarle prima che si verifichi la crittografia.

Come Vectra AI individua e blocca Ghost in tempo reale

Il ransomware Ghost si muove troppo velocemente per le soluzioni di sicurezza tradizionali, spesso eseguendo l'attacco entro poche ore dall'accesso iniziale. SIEM, EDR e altri strumenti basati su regole impiegano troppo tempo per analizzare i log e rilevare gli schemi, lasciando i difensori diversi passi indietro rispetto all'attacco. Vectra AI, invece, è in grado di rilevare e dare priorità alle minacce in pochi minuti, molto più velocemente delle soluzioni tradizionali, che possono impiegare ore o addirittura giorni per rispondere. Sfruttando il rilevamento e la risposta alle minacce guidati dall'intelligenza artificiale, Vectra AI offre ai team di sicurezza un vantaggio fondamentale per fermare Ghost prima che inizi la crittografia.

Perché Vectra AI supera la sicurezza tradizionale

1. Attack Signal Intelligence potenziata dall'intelligenza artificiale

Ghost vive in modo marginale, abusando di strumenti nativi di Windows come PowerShell e WMI per confondersi con la normale attività di amministrazione. Vectra AI rileva questi sottili comportamenti degli aggressori in tempo reale, molto prima che inizi la crittografia, cosa chegli strumenti tradizionali basati sulle firme non riescono a fare.

2. Rilevamento precoce di movimenti laterali nascosti

Ghost si muove rapidamente utilizzando SMB, WMI e RDP, diffondendosi nella rete prima ancora che i difensori si rendano conto che è in corso un attacco. Vectra AI identifica i movimenti laterali furtivianche quando sono mascherati da attività di amministrazione di routine.

3. Prioritarizzazione delle minacce in tempo reale

Le soluzioni tradizionali generano troppi avvisi, troppo tardi, rendendo difficile per i team di sicurezza reagire in tempo. Vectra AI taglia il rumorecorrelando i comportamenti ed evidenziando le minacce reali, in modo che i difensori possano agire immediatamente.

4. Risposta automatica e contenimento

Quando Ghost raggiunge la fase di movimento laterale, Vectra AI ha già escalation della minaccia per la bonifica automatica. Gli host compromessi vengono isolati prima che inizi la crittografia, arrestando l'esecuzione di Ghostprima che si verifichino danni diffusi.

5. Prevenzione oltre le firme

Poiché Ghost modifica frequentemente le note di riscatto, i payload e gli indicatori di attacco, la sicurezza basata sulle firme non riesce a tenere il passo. L'approccio guidato dall'intelligenza artificiale diVectra AIrileva i comportamenti sottostanti dell'aggressore, indipendentemente dalla variante del payload.

*Rilevamenti attivati durante un attacco di ransomware Ghost*

La sicurezza tradizionale è troppo lenta: solo l'AI può fermare Ghost in tempo

Il ransomware Ghost sfrutta le lacune della sicurezza tradizionale, muovendosi troppo velocemente perché firewall, EDR, IDS e soluzioni SIEM possano reagire in tempo. Per difendersi da questi attacchi ransomware a rapida diffusione, le aziende hanno bisogno di un rilevamento e di una risposta basati sul comportamento e alimentati dall'intelligenza artificiale. Vectra AI rileva e risponde in tempo reale, bloccando Ghost e altre minacce in pochi minuti anziché in ore o giorni.

Per sapere come Vectra AI può proteggere la vostra organizzazione dal ransomware, scoprite di più sulla nostra piattaforma o richiedete una demo oggi stesso.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci