Ghost
Ghost (Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada ve Rapture olarak da bilinir), dünya çapındaki kuruluşları hedef almak için eski yazılım güvenlik açıklarından yararlanan Çin kaynaklı bir fidye yazılımı grubudur.
Ghost fidye yazılımının kökeni
Ghost , 2021'in başlarında ortaya çıkan finansal motivasyonlu bir tehdit grubudur. Grubun Çin'den faaliyet gösterdiğine inanılıyor ve hızlı hareket eden ve son derece fırsatçı saldırılarıyla biliniyor. CISA'ya göre, uzun süreli kalıcılık sağlayan bazı fidye yazılımı aktörlerinin aksine, Ghost operatörleri genellikle bir ağa sızar, fidye yazılımlarını dağıtır ve yalnızca birkaç gün içinde çıkar. Güncelliğini yitirmiş yazılım açıklarından faydalanarak ayrıcalıkları hızla yükseltiyor, güvenlik savunmalarını devre dışı bırakıyor ve kritik dosyaları şifreleyerek kurbanlara yanıt vermek için çok az zaman bırakıyorlar. Amaçları basittir: savunucular saldırıyı tespit edip hafifletmeden önce mümkün olan en kısa sürede finansal kazancı en üst düzeye çıkarmak.
Ghost tarafından hedef alınan ülkeler
Ghost , Çin'de ve diğer birçok yerde doğrulanan saldırılarla birlikte 70'ten fazla ülkedeki kuruluşların güvenliğini tehlikeye attı.
Ghost tarafından hedeflenen sektörler
Ghost fidye yazılımı aktörleri , kritik altyapı, eğitim, sağlık hizmetleri, devlet ağları, dini kurumlar, teknoloji ve imalat dahil olmak üzere geniş bir sektör yelpazesini hedef almaktadır. Küçük ve orta ölçekli işletmeler de sıklıkla etkilenmektedir.
Ghost'in kurbanları
Belirli kurban isimleri her zaman açıklanmasa da, Ghost fidye yazılımı vakaları çeşitli sektörlerdeki kuruluşları etkilemiştir. Finansal şantaja odaklanıldığı için, kurbanlar genellikle değerli verilere ve sınırlı siber güvenlik savunmasına sahip kurumları içermektedir.
Ghost'in Saldırı Yöntemi
Ghost aktörler Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint ve Microsoft Exchange 'deki (ProxyShell güvenlik açıkları) güvenlik açıklarından yararlanarak yetkisiz erişim elde ediyor.
Saldırganlar SharpZeroLogon, SharpGPPass, BadPotato ve GodPotato gibi araçları kullanarak ayrıcalıkları yükseltip üst düzey sistem kullanıcılarının kimliğine bürünürler.
Grup, Windows Defender ve diğer antivirüs çözümlerini devre dışı bırakır, güvenlik araçlarını değiştirir ve tespit edilmemek için komutlar yürütür.
Ghost aktörler, giriş bilgilerini çalmak için Cobalt Strike ' ın "hashdump" özelliğinden ve Mimikatz' dan yararlanır.
Saldırganlar SharpShares ve Ladon 911 gibi araçları kullanarak etki alanı hesabı keşfi, işlem keşfi ve ağ paylaşımı numaralandırması gerçekleştiriyor.
PowerShell komutları ve Windows Yönetim Araçları (WMI ) kurban ağları arasında hareket etmek için kullanılır.
Fidye yazılımı PowerShell, Windows Komut Kabuğu ve yüklenen web kabuklarıkullanılarak çalıştırılır.
Veri hırsızlığı birincil hedef olmamasına rağmen, bazı dosyalar Cobalt Strike Team Sunucuları ve Mega.nz bulut depolama alanı üzerinden çalınmaktadır.
Fidye yazılımı Cring.exe, Ghost.exe, ElysiumO.exe ve Locker.exe kullanarak dosyaları şifreler ve fidye ödenmediği sürece kurbanın verilerini erişilemez hale getirir.
Ghost aktörler Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint ve Microsoft Exchange 'deki (ProxyShell güvenlik açıkları) güvenlik açıklarından yararlanarak yetkisiz erişim elde ediyor.
Saldırganlar SharpZeroLogon, SharpGPPass, BadPotato ve GodPotato gibi araçları kullanarak ayrıcalıkları yükseltip üst düzey sistem kullanıcılarının kimliğine bürünürler.
Grup, Windows Defender ve diğer antivirüs çözümlerini devre dışı bırakır, güvenlik araçlarını değiştirir ve tespit edilmemek için komutlar yürütür.
Ghost aktörler, giriş bilgilerini çalmak için Cobalt Strike ' ın "hashdump" özelliğinden ve Mimikatz' dan yararlanır.
Saldırganlar SharpShares ve Ladon 911 gibi araçları kullanarak etki alanı hesabı keşfi, işlem keşfi ve ağ paylaşımı numaralandırması gerçekleştiriyor.
PowerShell komutları ve Windows Yönetim Araçları (WMI ) kurban ağları arasında hareket etmek için kullanılır.
Fidye yazılımı PowerShell, Windows Komut Kabuğu ve yüklenen web kabuklarıkullanılarak çalıştırılır.
Veri hırsızlığı birincil hedef olmamasına rağmen, bazı dosyalar Cobalt Strike Team Sunucuları ve Mega.nz bulut depolama alanı üzerinden çalınmaktadır.
Fidye yazılımı Cring.exe, Ghost.exe, ElysiumO.exe ve Locker.exe kullanarak dosyaları şifreler ve fidye ödenmediği sürece kurbanın verilerini erişilemez hale getirir.
Ghost tarafından kullanılan TTP'ler
Vectra AI ile Ghost Nasıl Tespit Edilir
Sıkça Sorulan Sorular
Ghost (Cring) fidye yazılımı bir ağa nasıl erişim sağlar?
Ghost , Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint ve Microsoft Exchange (ProxyShell güvenlik açıkları)gibi eski yazılımlardaki bilinen güvenlik açıklarından yararlanır.
Ghost fidye yazılımı en çok hangi sektörleri hedef alıyor?
Kritik altyapı, eğitim, sağlık, devlet ağları, dini kurumlar, teknoloji, üretim ve küçük işletmeler.
Ghost fidye yazılımı şifrelemeden önce verileri dışarı sızdırıyor mu?
Ghost aktörler zaman zaman sınırlı verileri dışarı sızdırır, ancak büyük ölçekli veri hırsızlığı birincil hedefleri değildir.
Ghost tarafından yaygın olarak hangi güvenlik açıklarından yararlanılır?
Bazı önemli CVE'ler şunlardır:
- CVE-2018-13379 (Fortinet FortiOS)
- CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).
Ghost fidye yazılımı hangi araçları kullanır?
Ghost aktörler Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato ve PowerShell tabanlı komut dosyalarınıkullanmaktadır.
Kurumlar Ghost fidye yazılımına karşı nasıl savunma yapabilir?
Kuruluşlar, olağandışı etkinlikleri izleyen, istismar girişimlerini tespit eden, Cobalt Strike gibi kötü amaçlı araçları engelleyen ve şifreleme gerçekleşmeden önce saldırıları kontrol altına almak ve azaltmak için hızlı olay müdahalesini mümkün kılan tehdit algılama ve müdahale çözümlerini uygulayarak Ghost fidye yazılımına karşı savunma sağlayabilir.
Ghost fidye yazılımı ne kadar hızlı çalışır?
Çoğu durumda, saldırganlar ilk erişimi elde ettikten sonra aynı gün içinde fidye yazılımı dağıtmaktadır.
Tipik fidye talebi nedir?
Ghost aktörler, kripto para birimiyle ödenmek üzere on ila yüz binlerce dolar arasında değişen fidyeler talep ediyor.
Ghost fidye yazılımı grubu kurbanlarla nasıl iletişim kuruyor?
Şifreli e-posta hizmetleri (Tutanota, ProtonMail, Skiff, Mailfence ve Onionmail) kullanıyorlar ve son zamanlarda güvenli mesajlaşma için TOX ID'leri de kullandılar.
Kuruluşlar fidye ödemeli mi?
Siber güvenlik kurumları, veri kurtarmayı garanti etmedikleri ve daha fazla suç faaliyetini finanse edebilecekleri için fidye ödemelerini kesinlikle tavsiye etmemektedir.