Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

Ghost

Ghost (noto anche come Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture) è un gruppo di ransomware originario della Cina che sfrutta vulnerabilità software obsolete per colpire organizzazioni in tutto il mondo.

Rilevare i TTP di Ghost
La vostra organizzazione è al sicuro dagli attacchi di Ghost?
Sfondo
Obiettivi
TTP
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce

L'origine del ransomware Ghost

Ghost è un gruppo di minacce a sfondo finanziario emerso all'inizio del 2021. Si ritiene che il gruppo operi dalla Cina ed è noto per i suoi attacchi rapidi e altamente opportunistici. A differenza di alcuni attori del ransomware, che hanno una persistenza a lungo termine, gli operatori di Ghost si infiltrano tipicamente in una rete, distribuiscono il loro ransomware e se ne vanno nel giro di pochi giorni, secondo il CISA. Sfruttando vulnerabilità software obsolete, aumentano rapidamente i privilegi, disabilitano le difese di sicurezza e criptano i file critici, lasciando alle vittime poco tempo per reagire. Il loro obiettivo è semplice: massimizzare il guadagno finanziario il più rapidamente possibile, prima che i difensori possano rilevare e mitigare l'attacco.

L'origine del ransomware Ghost
Obiettivi

Obiettivi del Ghost

Paesi presi di mira da Ghost

Ghost ha compromesso organizzazioni in oltre 70 Paesi, con attacchi confermati in Cina e in numerose altre località.

Industrie prese di mira da Ghost

Gli attori del ransomware Ghost prendono di mira un ampio spettro di settori, tra cui le infrastrutture critiche, l'istruzione, la sanità, le reti governative, le istituzioni religiose, la tecnologia e la produzione. Anche le piccole e medie imprese sono spesso colpite.

Industrie prese di mira da Ghost

Gli attori del ransomware Ghost prendono di mira un ampio spettro di settori, tra cui le infrastrutture critiche, l'istruzione, la sanità, le reti governative, le istituzioni religiose, la tecnologia e la produzione. Anche le piccole e medie imprese sono spesso colpite.

Le vittime del Ghost

Anche se i nomi specifici delle vittime non vengono sempre resi noti, gli incidenti di Ghost ransomware hanno colpito organizzazioni di vari settori. Dato che l'obiettivo è l'estorsione finanziaria, le vittime sono spesso istituzioni con dati preziosi e difese di sicurezza informatica limitate.

Metodo di attacco

Metodo di attacco del Ghost

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Gli attori Ghost sfruttano le vulnerabilità di Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell) per ottenere un accesso non autorizzato.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Gli aggressori utilizzano strumenti come SharpZeroLogon, SharpGPPPass, BadPotato e GodPotato per elevare i privilegi e impersonare utenti di sistema di alto livello.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo disabilita Windows Defender e altre soluzioni antivirus, modifica gli strumenti di sicurezza ed esegue comandi per non essere individuato.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Gli attori Ghost sfruttano la funzione "hashdump" diCobalt Strikee Mimikatz per rubare le credenziali di accesso.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Gli aggressori effettuano il rilevamento degli account di dominio, il rilevamento dei processi e l'enumerazione delle condivisioni di rete utilizzando strumenti come SharpShares e Ladon 911.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

I comandi PowerShell e Windows Management Instrumentation (WMI) vengono utilizzati per spostarsi attraverso le reti delle vittime.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Il ransomware viene eseguito utilizzando PowerShell, Command Shell di Windows e shell web caricate.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Sebbene il furto di dati non sia un obiettivo primario, alcuni file vengono rubati tramite i serverCobalt Strike Team e il cloud storage di Mega.nz.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Il ransomware cripta i file utilizzando Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe, rendendo inaccessibili i dati della vittima a meno che non venga pagato un riscatto.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Gli attori Ghost sfruttano le vulnerabilità di Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell) per ottenere un accesso non autorizzato.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Gli aggressori utilizzano strumenti come SharpZeroLogon, SharpGPPPass, BadPotato e GodPotato per elevare i privilegi e impersonare utenti di sistema di alto livello.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Il gruppo disabilita Windows Defender e altre soluzioni antivirus, modifica gli strumenti di sicurezza ed esegue comandi per non essere individuato.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Gli attori Ghost sfruttano la funzione "hashdump" diCobalt Strikee Mimikatz per rubare le credenziali di accesso.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Gli aggressori effettuano il rilevamento degli account di dominio, il rilevamento dei processi e l'enumerazione delle condivisioni di rete utilizzando strumenti come SharpShares e Ladon 911.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

I comandi PowerShell e Windows Management Instrumentation (WMI) vengono utilizzati per spostarsi attraverso le reti delle vittime.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione
Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Il ransomware viene eseguito utilizzando PowerShell, Command Shell di Windows e shell web caricate.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Sebbene il furto di dati non sia un obiettivo primario, alcuni file vengono rubati tramite i serverCobalt Strike Team e il cloud storage di Mega.nz.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Il ransomware cripta i file utilizzando Cring.exe, Ghost.exe, ElysiumO.exe e Locker.exe, rendendo inaccessibili i dati della vittima a meno che non venga pagato un riscatto.

MITRE ATT&CK Mappatura

TTP utilizzati da Ghost

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1057
Process Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1573
Encrypted Channel
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare i Ghost con Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Come fa il ransomware Ghost (Cring) ad accedere a una rete?

Ghost sfrutta vulnerabilità note in software obsoleti, come Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange (vulnerabilità ProxyShell).

Quali sono i settori più bersagliati dal ransomware Ghost ?

Infrastrutture critiche, istruzione, sanità, reti governative, istituzioni religiose, tecnologia, produzione e piccole imprese.

Il ransomware Ghost esfiltra i dati prima della crittografia?

Gli attori Ghost occasionalmente esfiltravano dati limitati, ma il furto di dati su larga scala non è il loro obiettivo primario.

Quali vulnerabilità di sicurezza sono comunemente sfruttate da Ghost?

Alcune CVE degne di nota includono:

  • CVE-2018-13379 (Fortinet FortiOS)
  • CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
  • CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).

Quali strumenti utilizza il ransomware Ghost ?

Gli attori Ghost utilizzano Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato e script basati su PowerShell.

Come possono le organizzazioni difendersi dal ransomware Ghost ?

Le organizzazioni possono difendersi dal ransomware Ghost implementando soluzioni di rilevamento e risposta alle minacce che monitorano le attività insolite, rilevano i tentativi di sfruttamento, bloccano gli strumenti dannosi come Cobalt Strike e consentono una risposta rapida agli incidenti per contenere e mitigare gli attacchi prima che avvenga la crittografia.

A che velocità opera il ransomware Ghost ?

In molti casi, gli aggressori distribuiscono il ransomware entro lo stesso giorno in cui hanno ottenuto l'accesso iniziale.

Qual è la tipica richiesta di riscatto?

Gli attori Ghost chiedono riscatti che vanno dalle decine alle centinaia di migliaia di dollari, pagabili in criptovaluta.

Come comunica il gruppo Ghost ransomware con le vittime?

Utilizzano servizi di posta elettronica criptati (Tutanota, ProtonMail, Skiff, Mailfence e Onionmail) e, recentemente, anche TOX ID per la messaggistica sicura.

Le organizzazioni devono pagare il riscatto?

Le agenzie di sicurezza informatica scoraggiano fortemente i pagamenti di riscatti, poiché non garantiscono il recupero dei dati e possono finanziare ulteriori attività criminali.

La vostra organizzazione è al sicuro dagli attacchi di Ghost?

Valutare l'esposizione agli attacchi