Cisco Talos отмечает рост вредоносной активности хакерской группы GhostSec с прошлого года.
GhostSec, финансово мотивированная хакерская группа, была замечена в проведении двойных атак с вымогательством выкупа на различные вертикали бизнеса в разных странах. Группа разработала новую программу-вымогатель GhostLocker 2.0, представляющую собой Golang-вариант программы-вымогателя GhostLocker. Группы GhostSec и Stormous совместно проводят эти атаки и запустили новую программу RaaS (ransomware-as-a-service) STMX_GhostLocker, предоставляя различные варианты своим филиалам. Группы GhostSec и Stormous совместно проводят двойные вымогательские атаки, направленные на жертв в различных сферах бизнеса в разных странах.
Talos также обнаружила в арсенале GhostSec два новых инструмента: "GhostSec Deep Scan tool" и "GhostPresser", которые, вероятно, используются в атаках на веб-сайты. GhostSec остается активной с прошлого года и провела несколько атак типа "отказ в обслуживании" (DoS), в результате которых были выведены из строя сайты жертв.
Indicators of Compromise
IPv4
- 94.103.91.246
URLs
- http://94.103.91.246/addInfection
- http://94.103.91.246/incrementLaunch
- http://94.103.91.246/login?next=
- http://94.103.91.246/upload
- http://94.103.91.246/victimchat?id=EncryptionID
SHA256
- 36760e9bbfaf5a28ec7f85d13c7e8078a4ee4e5168b672639e97037d66eb1d17
- 8b758ccdfbfa5ff3a0b67b2063c2397531cf0f7b3d278298da76528f443779e9
- 8fa28795e4cd95e6c78c4a1308ea80674102669f9980b2006599d82eff6237b3
- a1b468e9550f9960c5e60f7c52ca3c058de19d42eafa760b9d5282eb24b7c55f