ФБР и CISA предупреждают об операторах программы-вымогателя Ghost
- Опасные злоумышленники атакуют критически важные инфраструктуры, государственные учреждения и другие организации.
- Взломы происходят через уязвимые конечные точки, не защищенные обновлениями.
Группы киберпреступников, использующие вариант вымогателя Ghost, успешно проникли в организации более чем в 70 странах, утверждают эксперты.
Недавнее совместное предупреждение, опубликованное Агентством кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и Многоштатным центром информационного обмена и анализа (MS-ISAC), отмечает, что эти группы, в основном, нацелены на организации в сфере критической инфраструктуры, но также проявляют интерес к здравоохранению, государственному сектору, технологиям, производству и другим отраслям. Потерпевшие могут быть крупными предприятиями, а также малым и средним бизнесом (МСБ).
«С начала 2021 года операторы Ghost начали атаковать жертв, чьи интернет-сервисы использовали устаревшие версии программного и аппаратного обеспечения,» говорится в отчете. «Эти безразборные атаки на сети с уязвимостями привели к компрометации организаций в более чем 70 странах, включая Китай.»
Разные имена
Поскольку группы используют различные имена, расширения файлов и записки с требованием выкупа, атрибуция была затруднительной. Они использовали множество имен, включая Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. Среди шифровальщиков были замечены Cring.exe, Ghost.exe, ElysiumO.exe и Locker.exe.
Для взлома своих жертв они нацеливались на незащищенные конечные точки. Чаще всего они атаковали уязвимости Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) и Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Наилучший способ защиты от операторов вымогателя Ghost – поддерживать программное и аппаратное обеспечение в актуальном состоянии. Все перечисленные в отчете уязвимости уже исправлены их производителями, поэтому минимизация риска заключается в простом применении исправлений.
Помимо этих уязвимостей, хакеры с государственной поддержкой также нацеливались на CVE-2018-13379, чтобы, в частности, взломать системы поддержки выборов США, подключенные к интернету. Этот баг был исправлен много лет назад, и компания Fortinet неоднократно предупреждала о его эксплуатации на протяжении 2019, 2020 и 2021 годов.
Источник: TechRadar
