La CISA y el FBI dijeron que los atacantes que desplegaron ransomware fantasma violaron a las víctimas de varios sectores de la industria en más de 70 países, incluidas las organizaciones críticas de infraestructura.
Otras industrias afectadas incluyen atención médica, gobierno, educación, tecnología, fabricación y muchas pequeñas y medianas empresas.
“Desde principios de 2021, los actores de Ghost comenzaron a atacar a las víctimas cuyos servicios confrontados con Internet han ejecutado versiones obsoletas de software y micrología”, CISA, el FBI y el Centro para el Compartir y el Análisis de Información Multi-Estados (MS-ISAC) dijo en una opinión conjunta Lanzado el miércoles.
“Esta orientación ciega de redes que contienen vulnerabilidades han llevado al compromiso de las organizaciones en más de 70 países, incluidas las organizaciones en China”.
Los operadores de ransomware de Fantoma con frecuencia giran sus ejecutables de malware, modifican las extensiones de archivos de archivos cifrados, modifican el contenido de sus notas de rescate y usan varias direcciones de correo electrónico para las comunicaciones de rescate, lo que a menudo ha llevado a fluctuar la asignación del grupo con el tiempo.
Los nombres vinculados a este grupo incluyen fantasma, grado, crigt3r, Phantom, Strike, Hello, Wickrme, Hsharada y Rapture, con muestras de ransomware utilizadas en sus ataques, especialmente Crung.exe, Ghost.exe, Elysium.exe y Locker.
Este grupo de ransomware motivado financieramente opera el código accesible para el público para operar defectos de seguridad en servidores vulnerables. Se dirigen a las vulnerabilidades que no se corrigieron en Fortinet (CVE-2018-13379), Coldfusion (CVE-2011-2861, CVE-2009-3960) e intercambio (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Para defenderse contra los ataques de ransomware fantasma, se aconseja a los defensores de la red que tomen las siguientes medidas:
- Hacer copias de seguridad del sistema regular y fuera del sitio que no puede ser cifrillada por ransomware,
- Parche de las vulnerabilidades del sistema operativo, el software y el firmware lo antes posible,
- Concéntrese en defectos de seguridad dirigidos por Ransomware Ghost (es decir, CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-20121-31207) ,,.
- Redes de segmento para limitar los movimientos laterales de los dispositivos infectados,
- Aplicar la autenticación multifactor (MFA) resistente al phishing para todas las cuentas privilegiadas y los servicios de mensajería.
Justo después Amigo_a Y Equipo de Swisscom CSIRT Resomware de fantasmas vistos por primera vez a principios de 2021, sus operadores eliminaron las muestras de Mimikatz personalizadas, seguidas de balizas de Baltstrike y en la implementación de los cargos útiles de ransomware utilizando el administrador de certificados de Windows Certilitimate Windows para evitar la seguridad del software.
Además de ser explotados para el acceso inicial en ataques de ransomware fantasma, los grupos de piratería respaldados por el estado que han escaneado los dispositivos VPN SSL vulnerables también han dirigido la vulnerabilidad CVE-2018-13379.
Los atacantes también abusaron de la misma vulnerabilidad de seguridad a Vioder, los sistemas de apoyo estadounidenses expuestos a Internet accesible en Internet.
Fortinet advirtió a los clientes que corrijan sus dispositivos SSL VPN contra CVE-2018-13379 varias veces Agosto de 2019, Julio de 2020, Noviembre de 2020Y todavía en Abril de 2021.
EL cónyuge Empricados por CISA, el FBI y MS-ISAC hoy también incluyen indicadores de compromiso (COI), tácticas, técnicas y procedimientos (TTP) y métodos de detección relacionados con la actividad previa de ransomware fantasma identificado durante las encuestas del FBI recientemente en enero de 2025.