APPENA PUBBLICATO

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)

Piattaforma

La piattaforma NDR che protegge le reti moderne dagli attacchi moderni.

Fornite ai vostri analisti della sicurezza le informazioni necessarie per bloccare rapidamente gli attacchi. Attack Signal Intelligence in tempo reale per mostrare dove si trovano le vulnerabilità in quel momento.

Modernizzazione SOC

Resilienza informatica

Gestione dei rischi

Scopri come gli hacker moderni sfruttano le falle nelle tue difese e cosa puoi fare per fermarli.

Fermare l'avanzata dell'aggressore

Contenimento forzato su identità, dispositivi e traffico di rete con 360 Response.

Per saperne di più

Dashboard sulla sicurezza informatica di Vectra AI un'indagine di rilevamento con dettagli sul profilo dell'attacco, fattori di valutazione e un grafico di rete delle attività sospette.

Confronta la Vectra AI con altri strumenti

EDR, SIEM, SASE, SSE e gli strumenti cloud nativi lasciano delle lacune che gli hacker moderni sfruttano. La Vectra AI le colma.

Per saperne di più

Clienti

Ricerca e approfondimenti

Approfondimenti di esperti provenienti dai nostri data scientist, ricercatori di sicurezza e ingegneri per supportare il tuo apprendimento.

Approfondimenti di esperti sulle minacce emergenti e sulle difese

Ottieni informazioni basate sull'intelligenza artificiale per un rilevamento delle minacce più intelligente

Bollettini e briefing sulle minacce per una difesa proattiva

Unisciti ai nostri ricercatori nel campo della sicurezza, data scientist e analisti mentre condividiamo oltre 11 anni di ricerca e competenze nel campo della sicurezza AI con la comunità globale della sicurezza informatica.

Risorse

Ultime notizie e approfondimenti degli esperti.

Blue Team Workshops, webinar su richiesta ed eventi globali vicino a te.

Rapporti di ricerca, analisi degli attacchi, white paper, guide, schede tecniche e testimonianze dei clienti.

Spiegazioni dettagliate delle questioni più critiche relative alla sicurezza informatica odierna, delle tecniche utilizzate dagli hacker e delle strategie di mitigazione.

Video dimostrativi e tour

Guarda la Vectra AI in azione.

Scopri come il segnale integrato di Vectra AI ti Vectra AI individuare e bloccare attacchi sofisticati che altre tecnologie non riescono a rilevare.

Fai il tour interattivo

Azienda

Scopri perché siamo leader mondiali nella sicurezza basata sull'intelligenza artificiale

Richiedi una presentazione con un esperto Vectra AI

Guide all'implementazione, knowledge base, note di rilascio e annunci di sicurezza

Approfondimenti di esperti provenienti da ricercatori nel campo della sicurezza, data scientist e ingegneri

Ultime notizie da Vectra AI

Materiale stampa, biografie dei dirigenti, loghi e immagini dei prodotti per uso mediatico

Entra a far parte del team che ha creato la prima piattaforma al mondo per la sicurezza informatica basata sull'intelligenza artificiale.

Oltre la perfezione della configurazione: ridefinireCloud "

Non basta correggere le configurazioni errate. Concentrarsi eccessivamente sulla perfezione può creare punti ciechi. Scopri un approccio più intelligente e olistico alla cloud .

Per saperne di più

Ghost

Ghost noto anche come Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture) è un gruppo di ransomware originario della Cina che sfrutta le vulnerabilità dei software obsoleti per colpire organizzazioni in tutto il mondo.

L'origine del Ghost

Ghost un gruppo di hacker motivato da interessi finanziari emerso all'inizio del 2021. Si ritiene che il gruppo operi dalla Cina ed è noto per i suoi attacchi rapidi e altamente opportunistici. A differenza di alcuni autori di ransomware che stabiliscono una persistenza a lungo termine, secondo la CISA Ghost in genere si infiltrano in una rete, distribuiscono il loro ransomware e escono nel giro di pochi giorni. Sfruttando le vulnerabilità dei software obsoleti, aumentano rapidamente i privilegi, disabilitano le difese di sicurezza e crittografano i file critici, lasciando alle vittime poco tempo per reagire. Il loro obiettivo è semplice: massimizzare il guadagno finanziario il più rapidamente possibile prima che i difensori possano rilevare e mitigare l'attacco.

Paesi presi di mira da Ghost

Ghost compromesso organizzazioni in oltre 70 paesi, con attacchi confermati in Cina e in numerose altre località.

Settori presi di mira da Ghost

Gli autori Ghost prendono di mira un ampio spettro di settori, tra cui infrastrutture critiche, istruzione, sanità, reti governative, istituzioni religiose, tecnologia e produzione. Anche le piccole e medie imprese sono spesso colpite.

Le vittime Ghost

Sebbene i nomi specifici delle vittime non vengano sempre resi noti, gli incidenti Ghost hanno colpito organizzazioni di vari settori. Data l'attenzione rivolta all'estorsione finanziaria, le vittime includono spesso istituzioni con dati preziosi e difese di sicurezza informatica limitate.

Metodo di attacco

Metodo di attacco Ghost

Una figura oscura che getta una vasta rete su un panorama digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di trovare vulnerabilità o utilizzare phishing per ottenere un accesso non autorizzato.

Ghost sfruttano le vulnerabilità presenti in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell) per ottenere accesso non autorizzato.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'aggressore per ottenere un accesso di livello superiore all'interno del sistema.

Gli aggressori utilizzano strumenti come SharpZeroLogon, SharpGPPPass, BadPotato e GodPotato per elevare i privilegi e impersonare utenti di sistema di alto livello.

Un camaleonte che si mimetizza in uno sfondo digitale, circondato da flussi di zero e uno. Questo rappresenta la capacità dell'aggressore di eludere il rilevamento da parte delle misure di sicurezza, modificando le proprie tattiche per mimetizzarsi nel normale traffico di rete.

Il gruppo disabilita Windows Defender e altre soluzioni antivirus, modifica gli strumenti di sicurezza ed esegue comandi per non essere rilevato.

Un ladro con un kit di grimaldelli che lavora su una gigantesca serratura a forma di modulo di accesso, che rappresenta gli sforzi dell'aggressore per rubare le credenziali degli utenti e ottenere un accesso non autorizzato.

Ghost sfruttano la funzione "hashdump"Cobalt Strikee Mimikatz per rubare le credenziali di accesso.

Una lente di ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove risiedono i dati di valore.

Gli aggressori effettuano la scoperta degli account di dominio, la scoperta dei processi e l'enumerazione delle condivisioni di rete utilizzando strumenti come SharpShares e Ladon 911.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'aggressore all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

I comandi PowerShell e Windows Management Instrumentation (WMI) vengono utilizzati per spostarsi all'interno delle reti delle vittime.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto da una figura oscura. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con codice dannoso in fase di digitazione. Questo rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware viene eseguito utilizzando PowerShell, Windows Command Shell e web shell caricate.

‍

Una serie di file che vengono convogliati attraverso un canale segreto da un computer a un cloud da un teschio, che simboleggia il trasferimento non autorizzato di dati verso una posizione controllata dall'autore dell'attacco.

Sebbene il furto di dati non sia l'obiettivo principale, alcuni file vengono rubati tramite Cobalt Strike Servers e cloud Mega.nz.

Uno schermo incrinato con uno sfondo digitale raffigurante una città nel caos, che simboleggia l'impatto distruttivo dell'attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o la perdita finanziaria.

Il ransomware crittografa i file utilizzando Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe, rendendo inaccessibili i dati della vittima a meno che non venga pagato un riscatto.

Accesso iniziale

Ghost sfruttano le vulnerabilità presenti in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell) per ottenere accesso non autorizzato.

Elevazione dei privilegi

Gli aggressori utilizzano strumenti come SharpZeroLogon, SharpGPPPass, BadPotato e GodPotato per elevare i privilegi e impersonare utenti di sistema di alto livello.

Evasione della difesa

Il gruppo disabilita Windows Defender e altre soluzioni antivirus, modifica gli strumenti di sicurezza ed esegue comandi per non essere rilevato.

Accesso alle credenziali

Ghost sfruttano la funzione "hashdump"Cobalt Strikee Mimikatz per rubare le credenziali di accesso.

Scoperta

Gli aggressori effettuano la scoperta degli account di dominio, la scoperta dei processi e l'enumerazione delle condivisioni di rete utilizzando strumenti come SharpShares e Ladon 911.

Movimento laterale

I comandi PowerShell e Windows Management Instrumentation (WMI) vengono utilizzati per spostarsi all'interno delle reti delle vittime.

Collezione

Esecuzione

Il ransomware viene eseguito utilizzando PowerShell, Windows Command Shell e web shell caricate.

‍

Esfiltrazione

Sebbene il furto di dati non sia l'obiettivo principale, alcuni file vengono rubati tramite Cobalt Strike Servers e cloud Mega.nz.

Impatto

Il ransomware crittografa i file utilizzando Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe, rendendo inaccessibili i dati della vittima a meno che non venga pagato un riscatto.

MITRE ATT&CK

TTP utilizzati da Ghost

TA0001: Initial Access

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

T1047

Windows Management Instrumentation

TA0003: Persistence

T1505

Server Software Component

T1136

Create Account

T1098

Account Manipulation

TA0004: Privilege Escalation

T1134

Access Token Manipulation

T1068

Exploitation for Privilege Escalation

TA0005: Defense Evasion

T1134

Access Token Manipulation

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1518

Software Discovery

T1135

Network Share Discovery

T1087

Account Discovery

T1057

Process Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1573

Encrypted Channel

T1132

Data Encoding

T1105

Ingress Tool Transfer

T1071

Application Layer Protocol

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come rilevare Ghost Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti

Valuta la tua esposizione agli attacchi

Domande frequenti

In che modo il ransomware Ghost Cring) ottiene l'accesso a una rete?

Ghost vulnerabilità note presenti in software obsoleti, quali Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell).

Quali sono i settori più colpiti dal Ghost ?

Infrastrutture critiche, istruzione, sanità, reti governative, istituzioni religiose, tecnologia, produzione e piccole imprese.

Ghost sottrae i dati prima della crittografia?

Ghost occasionalmente sottraggono dati in quantità limitata, ma il furto di dati su larga scala non è il loro obiettivo principale.

Quali vulnerabilità di sicurezza vengono comunemente sfruttate da Ghost?

Alcuni CVE degni di nota includono:

CVE-2018-13379 (Fortinet FortiOS)
CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).

‍

Quali strumenti utilizza Ghost ?

Ghost utilizzano Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato e script basati su PowerShell.

Come possono le organizzazioni difendersi dal Ghost ?

Le organizzazioni possono difendersi dal Ghost implementando soluzioni di rilevamento e risposta alle minacce che monitorano le attività insolite, rilevano i tentativi di sfruttamento, bloccano strumenti dannosi come Cobalt Strike e consentono una risposta rapida agli incidenti per contenere e mitigare gli attacchi prima che avvenga la crittografia.

Quanto è veloce Ghost ?

In molti casi, gli aggressori distribuiscono il ransomware entro lo stesso giorno in cui ottengono l'accesso iniziale.

Qual è la richiesta di riscatto tipica?

Ghost chiedono riscatti che vanno da decine a centinaia di migliaia di dollari, pagabili in criptovaluta.

In che modo il gruppo Ghost comunica con le vittime?

Utilizzano servizi di posta elettronica crittografata (Tutanota, ProtonMail, Skiff, Mailfence e Onionmail) e, recentemente, hanno anche utilizzato TOX ID per la messaggistica sicura.

Le organizzazioni dovrebbero pagare il riscatto?

Le agenzie di sicurezza informatica sconsigliano vivamente il pagamento dei riscatti, poiché non garantiscono il recupero dei dati e potrebbero finanziare ulteriori attività criminali.

Ghost

L'origine del Ghost

Paesi presi di mira da Ghost

Settori presi di mira da Ghost

Le vittime Ghost

Metodo di attacco Ghost

TTP utilizzati da Ghost

Come rilevare Ghost Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

La tua organizzazione è al sicuro dagli attacchi Ghost?

Domande frequenti

In che modo il ransomware Ghost Cring) ottiene l'accesso a una rete?

Quali sono i settori più colpiti dal Ghost ?

Ghost sottrae i dati prima della crittografia?

Quali vulnerabilità di sicurezza vengono comunemente sfruttate da Ghost?

Quali strumenti utilizza Ghost ?

Come possono le organizzazioni difendersi dal Ghost ?

Quanto è veloce Ghost ?

Qual è la richiesta di riscatto tipica?

In che modo il gruppo Ghost comunica con le vittime?

Le organizzazioni dovrebbero pagare il riscatto?