Общее совместное сообщение Федерального бюро расследований (ФБР), Агентства кибербезопасности и безопасности инфраструктуры (CISA) и Многоштатного центра обмена информацией и анализа (MS-ISAC) обнародовало информацию о новой угрозе в сфере кибербезопасности - Ransomware Ghost (Cring).
Ghost (Cring) Ransomware
От начала 2021 года участники этой группы начали атаковать компании и организации, использующие устаревшее программное обеспечение и прошивку. Их целью является получение финансовой выгоды. Атаки этой группы достигли организаций более чем в 70 странах, включая Китай.
Участники Ghost используют общедоступный код для эксплуатации известных уязвимостей и получения доступа к серверам в Интернете. Они выбирают сети, в которых не применены последние исправления. Для своих атак они используют вредоносные программы, такие как Cring.exe, Ghost.exe, ElysiumO.exe и Locker.exe.
Исследования показывают, что Ghost получают первоначальный доступ к сетям, эксплуатируя публичные приложения, связанные с уязвимостями в различных системах, включая Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint и Microsoft Exchange. После этого они загружают вредоносную программу Cobalt Strike Beacon и используют командную строку Windows Command Prompt и PowerShell для ее выполнения.
Организации рекомендуется регулярно создавать резервные копии данных, устранять уязвимости путем применения обновлений безопасности, сегментировать сети и использовать фишинг-устойчивые многофакторные аутентификационные системы для доступа к привилегированным учетным записям.
Indicators of Compromise
Emails
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
MD5
- 0a5c4ad3ec240fbfd00bdc1d36bd54eb
- 29e44e8994197bdb0c2be6fc5dfc15c2
- 34b3009590ec2d361f07cac320671410
- 625bd7275e1892eac50a22f8b4a6355d
- a2fd181f57548c215ac6891d000ec6b9
- ac58a214ce7deb3a578c10b97f93d9c3
- c3b8f6d102393b4542e9f951c9435255
- c5d712f82d5d37bb284acd4468ab3533
- c9e35b5c1dc8856da25965b385a26ec4
- d1c5e7b8e937625891707f8b4b594314
- d9c019182d88290e5489cdf3b607f982
- db38ef2e3d4d8cb785df48f458b35090
- ef6a213f59f3fbee2894bd6734bbaed2
- ff52fdf84448277b1bc121f592f753c5
