Ghost

Ghost noto anche come Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture) è un gruppo di ransomware originario della Cina che sfrutta le vulnerabilità dei software non aggiornati per colpire organizzazioni in tutto il mondo.

Individuare le TTP Ghost

La tua organizzazione è al sicuro dagli attacchi Ghost?

L'origine del Ghost

Ghost un gruppo di hacker a scopo di lucro emerso all'inizio del 2021. Si ritiene che il gruppo operi dalla Cina ed è noto per i suoi attacchi rapidi e altamente opportunistici. A differenza di alcuni autori di ransomware che stabiliscono una persistenza a lungo termine, secondo la CISA Ghost in genere si infiltrano in una rete, distribuiscono il loro ransomware e se ne vanno nel giro di pochi giorni. Sfruttando le vulnerabilità dei software obsoleti, aumentano rapidamente i privilegi, disabilitano le difese di sicurezza e crittografano i file critici, lasciando alle vittime poco tempo per reagire. Il loro obiettivo è semplice: massimizzare il guadagno finanziario il più rapidamente possibile prima che i difensori possano rilevare e mitigare l'attacco.

Paesi presi di mira da Ghost

Ghost compromesso organizzazioni in oltre 70 paesi, con attacchi confermati in Cina e in numerose altre località.

Settori di riferimento di Ghost

Gli autori Ghost prendono di mira un ampio ventaglio di settori, tra cui le infrastrutture critiche, l'istruzione, la sanità, le reti governative, le istituzioni religiose, il settore tecnologico e quello manifatturiero. Anche le piccole e medie imprese sono spesso colpite.

Le vittime Ghost

Sebbene i nomi specifici delle vittime non vengano sempre resi noti, gli attacchi Ghost hanno colpito organizzazioni operanti in diversi settori. Data la loro finalità di estorsione finanziaria, tra le vittime figurano spesso istituzioni in possesso di dati preziosi e con difese informatiche limitate.

Metodo di attacco

Il metodo di attacco Ghost

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Ghost sfruttano le vulnerabilità presenti in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell) per ottenere un accesso non autorizzato.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Gli hacker utilizzano strumenti come SharpZeroLogon, SharpGPPPass, BadPotato e GodPotato per elevare i propri privilegi e assumere l'identità di utenti di sistema con privilegi elevati.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disattiva Windows Defender e altre soluzioni antivirus, modifica gli strumenti di sicurezza ed esegue comandi per non essere individuato.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Ghost sfruttano la funzione "hashdump"Cobalt Strikee Mimikatz per sottrarre le credenziali di accesso.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Gli aggressori effettuano l'individuazione degli account di dominio, l'individuazione dei processi e l'enumerazione delle condivisioni di rete utilizzando strumenti come SharpShares e Ladon 911.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Per muoversi all'interno delle reti delle vittime vengono utilizzati i comandi PowerShell e Windows Management Instrumentation (WMI).

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware viene eseguito tramite PowerShell, la shell di comando di Windows e web shell caricate.

‍

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

Sebbene il furto di dati non sia l'obiettivo principale, alcuni file vengono sottratti tramite i serverCobalt Strike e cloud Mega.nz.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Il ransomware crittografa i file utilizzando Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe, rendendo inaccessibili i dati della vittima a meno che non venga pagato un riscatto.

Accesso iniziale

Ghost sfruttano le vulnerabilità presenti in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell) per ottenere un accesso non autorizzato.

Escalation dei privilegi

Gli hacker utilizzano strumenti come SharpZeroLogon, SharpGPPPass, BadPotato e GodPotato per elevare i propri privilegi e assumere l'identità di utenti di sistema con privilegi elevati.

Evasione difensiva

Il gruppo disattiva Windows Defender e altre soluzioni antivirus, modifica gli strumenti di sicurezza ed esegue comandi per non essere individuato.

Accesso alle credenziali

Ghost sfruttano la funzione "hashdump"Cobalt Strikee Mimikatz per sottrarre le credenziali di accesso.

Scoperta

Gli aggressori effettuano l'individuazione degli account di dominio, l'individuazione dei processi e l'enumerazione delle condivisioni di rete utilizzando strumenti come SharpShares e Ladon 911.

Movimento laterale

Per muoversi all'interno delle reti delle vittime vengono utilizzati i comandi PowerShell e Windows Management Instrumentation (WMI).

Collezione

Esecuzione

Il ransomware viene eseguito tramite PowerShell, la shell di comando di Windows e web shell caricate.

‍

Esfiltrazione

Sebbene il furto di dati non sia l'obiettivo principale, alcuni file vengono sottratti tramite i serverCobalt Strike e cloud Mega.nz.

Impatto

Il ransomware crittografa i file utilizzando Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe, rendendo inaccessibili i dati della vittima a meno che non venga pagato un riscatto.

MITRE ATT&CK

TTP utilizzati da Ghost

TA0001: Initial Access

T1190

Exploit Public-Facing Application

TA0002: Execution

T1059

Command and Scripting Interpreter

T1047

Windows Management Instrumentation

TA0003: Persistence

T1505

Server Software Component

T1136

Create Account

T1098

Account Manipulation

TA0004: Privilege Escalation

T1134

Access Token Manipulation

T1068

Exploitation for Privilege Escalation

TA0005: Defense Evasion

T1134

Access Token Manipulation

T1564

Hide Artifacts

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1518

Software Discovery

T1135

Network Share Discovery

T1087

Account Discovery

T1057

Process Discovery

T1018

Remote System Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1573

Encrypted Channel

T1132

Data Encoding

T1105

Ingress Tool Transfer

T1071

Application Layer Protocol

TA0010: Exfiltration

T1567

Exfiltration Over Web Service

T1041

Exfiltration Over C2 Channel

TA0040: Impact

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come rilevare Ghost Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

In che modo il ransomware Ghost Cring) riesce ad accedere a una rete?

Ghost le vulnerabilità note presenti in software obsoleti, quali Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell).

Quali sono i settori più colpiti dal Ghost ?

Infrastrutture critiche, istruzione, sanità, reti governative, istituzioni religiose, tecnologia, settore manifatturiero e piccole imprese.

Ghost sottrae i dati prima della crittografia?

Ghost talvolta sottraggono una quantità limitata di dati, ma il furto di dati su larga scala non è il loro obiettivo principale.

Quali sono le vulnerabilità di sicurezza più comunemente sfruttate da Ghost?

Tra i CVE più rilevanti figurano:

CVE-2018-13379 (Fortinet FortiOS)
CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).

‍

Quali strumenti utilizza Ghost ?

Ghost utilizzano Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato e script basati su PowerShell.

In che modo le organizzazioni possono proteggersi dal Ghost ?

Le organizzazioni possono proteggersi dal Ghost implementando soluzioni di rilevamento e risposta alle minacce in grado di monitorare attività insolite, individuare tentativi di exploit, bloccare strumenti dannosi come Cobalt Strike e consentire una risposta rapida agli incidenti per contenere e mitigare gli attacchi prima che avvenga la crittografia.

Con quale velocità agisce Ghost ?

In molti casi, gli hacker rilasciano il ransomware entro lo stesso giorno in cui ottengono l'accesso iniziale.

Qual è la richiesta di riscatto più comune?

Ghost chiedono riscatti che vanno da decine a centinaia di migliaia di dollari, pagabili in criptovaluta.

In che modo il gruppo Ghost comunica con le vittime?

Utilizzano servizi di posta elettronica crittografata (Tutanota, ProtonMail, Skiff, Mailfence e Onionmail) e, di recente, hanno iniziato a utilizzare anche gli ID TOX per la messaggistica sicura.

Le organizzazioni dovrebbero pagare il riscatto?

Le agenzie di sicurezza informatica sconsigliano vivamente il pagamento dei riscatti, poiché non garantiscono il recupero dei dati e potrebbero finanziare ulteriori attività criminali.

Ghost

L'origine del Ghost

Paesi presi di mira da Ghost

Settori di riferimento di Ghost

Le vittime Ghost

Il metodo di attacco Ghost

TTP utilizzati da Ghost

Come rilevare Ghost Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

La tua organizzazione è al sicuro dagli attacchi Ghost?

Domande frequenti

In che modo il ransomware Ghost Cring) riesce ad accedere a una rete?

Quali sono i settori più colpiti dal Ghost ?

Ghost sottrae i dati prima della crittografia?

Quali sono le vulnerabilità di sicurezza più comunemente sfruttate da Ghost?

Quali strumenti utilizza Ghost ?

In che modo le organizzazioni possono proteggersi dal Ghost ?

Con quale velocità agisce Ghost ?

Qual è la richiesta di riscatto più comune?

In che modo il gruppo Ghost comunica con le vittime?

Le organizzazioni dovrebbero pagare il riscatto?