Ghost
Ghost (Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada ve Rapture olarak da bilinir), dünya çapındaki kuruluşları hedef almak için eski yazılım güvenlik açıklarından yararlanan Çin kaynaklı bir fidye yazılımı grubudur.
Ghost fidye yazılımının kökeni
Ghost , 2021'in başlarında ortaya çıkan finansal motivasyonlu bir tehdit grubudur. Grubun Çin'den faaliyet gösterdiğine inanılıyor ve hızlı hareket eden ve son derece fırsatçı saldırılarıyla biliniyor. CISA'ya göre, uzun süreli kalıcılık sağlayan bazı fidye yazılımı aktörlerinin aksine, Ghost operatörleri genellikle bir ağa sızar, fidye yazılımlarını dağıtır ve yalnızca birkaç gün içinde çıkar. Güncelliğini yitirmiş yazılım açıklarından faydalanarak ayrıcalıkları hızla yükseltiyor, güvenlik savunmalarını devre dışı bırakıyor ve kritik dosyaları şifreleyerek kurbanlara yanıt vermek için çok az zaman bırakıyorlar. Amaçları basittir: savunucular saldırıyı tespit edip hafifletmeden önce mümkün olan en kısa sürede finansal kazancı en üst düzeye çıkarmak.
Hedefler
Ghost'in hedefleri
Ghost tarafından hedef alınan ülkeler
Ghost , Çin'de ve diğer birçok yerde doğrulanan saldırılarla birlikte 70'ten fazla ülkedeki kuruluşların güvenliğini tehlikeye attı.
Ghost tarafından hedeflenen sektörler
Ghost fidye yazılımı aktörleri , kritik altyapı, eğitim, sağlık hizmetleri, devlet ağları, dini kurumlar, teknoloji ve imalat dahil olmak üzere geniş bir sektör yelpazesini hedef almaktadır. Küçük ve orta ölçekli işletmeler de sıklıkla etkilenmektedir.
Ghost tarafından hedeflenen sektörler
Ghost fidye yazılımı aktörleri , kritik altyapı, eğitim, sağlık hizmetleri, devlet ağları, dini kurumlar, teknoloji ve imalat dahil olmak üzere geniş bir sektör yelpazesini hedef almaktadır. Küçük ve orta ölçekli işletmeler de sıklıkla etkilenmektedir.
Ghost'in kurbanları
Belirli kurban isimleri her zaman açıklanmasa da, Ghost fidye yazılımı vakaları çeşitli sektörlerdeki kuruluşları etkilemiştir. Finansal şantaja odaklanıldığı için, kurbanlar genellikle değerli verilere ve sınırlı siber güvenlik savunmasına sahip kurumları içermektedir.
Saldırı Yöntemi
Ghost'in Saldırı Yöntemi
Ghost aktörler Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint ve Microsoft Exchange 'deki (ProxyShell güvenlik açıkları) güvenlik açıklarından yararlanarak yetkisiz erişim elde ediyor.
Saldırganlar SharpZeroLogon, SharpGPPass, BadPotato ve GodPotato gibi araçları kullanarak ayrıcalıkları yükseltip üst düzey sistem kullanıcılarının kimliğine bürünürler.
Grup, Windows Defender ve diğer antivirüs çözümlerini devre dışı bırakır, güvenlik araçlarını değiştirir ve tespit edilmemek için komutlar yürütür.
Ghost aktörler, giriş bilgilerini çalmak için Cobalt Strike ' ın "hashdump" özelliğinden ve Mimikatz' dan yararlanır.
Saldırganlar SharpShares ve Ladon 911 gibi araçları kullanarak etki alanı hesabı keşfi, işlem keşfi ve ağ paylaşımı numaralandırması gerçekleştiriyor.
PowerShell komutları ve Windows Yönetim Araçları (WMI ) kurban ağları arasında hareket etmek için kullanılır.
Fidye yazılımı PowerShell, Windows Komut Kabuğu ve yüklenen web kabuklarıkullanılarak çalıştırılır.
Veri hırsızlığı birincil hedef olmamasına rağmen, bazı dosyalar Cobalt Strike Team Sunucuları ve Mega.nz bulut depolama alanı üzerinden çalınmaktadır.
Fidye yazılımı Cring.exe, Ghost.exe, ElysiumO.exe ve Locker.exe kullanarak dosyaları şifreler ve fidye ödenmediği sürece kurbanın verilerini erişilemez hale getirir.
İlk Erişim
Ghost aktörler Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint ve Microsoft Exchange 'deki (ProxyShell güvenlik açıkları) güvenlik açıklarından yararlanarak yetkisiz erişim elde ediyor.
Ayrıcalık Yükseltme
Saldırganlar SharpZeroLogon, SharpGPPass, BadPotato ve GodPotato gibi araçları kullanarak ayrıcalıkları yükseltip üst düzey sistem kullanıcılarının kimliğine bürünürler.
Savunma Kaçırma
Grup, Windows Defender ve diğer antivirüs çözümlerini devre dışı bırakır, güvenlik araçlarını değiştirir ve tespit edilmemek için komutlar yürütür.
Kimlik Bilgileri Erişimi
Ghost aktörler, giriş bilgilerini çalmak için Cobalt Strike ' ın "hashdump" özelliğinden ve Mimikatz' dan yararlanır.
Keşif
Saldırganlar SharpShares ve Ladon 911 gibi araçları kullanarak etki alanı hesabı keşfi, işlem keşfi ve ağ paylaşımı numaralandırması gerçekleştiriyor.
Yanal Hareket
PowerShell komutları ve Windows Yönetim Araçları (WMI ) kurban ağları arasında hareket etmek için kullanılır.
Koleksiyon
Yürütme
Fidye yazılımı PowerShell, Windows Komut Kabuğu ve yüklenen web kabuklarıkullanılarak çalıştırılır.
Sızma
Veri hırsızlığı birincil hedef olmamasına rağmen, bazı dosyalar Cobalt Strike Team Sunucuları ve Mega.nz bulut depolama alanı üzerinden çalınmaktadır.
Etki
Fidye yazılımı Cring.exe, Ghost.exe, ElysiumO.exe ve Locker.exe kullanarak dosyaları şifreler ve fidye ödenmediği sürece kurbanın verilerini erişilemez hale getirir.
MITRE ATT&CK Haritalama
Ghost tarafından kullanılan TTP'ler
TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1057
Process Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1573
Encrypted Channel
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Platform Tespitleri
Vectra AI ile Ghost Nasıl Tespit Edilir
Sıkça Sorulan Sorular
Ghost (Cring) fidye yazılımı bir ağa nasıl erişim sağlar?
Ghost , Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint ve Microsoft Exchange (ProxyShell güvenlik açıkları)gibi eski yazılımlardaki bilinen güvenlik açıklarından yararlanır.
Ghost fidye yazılımı en çok hangi sektörleri hedef alıyor?
Kritik altyapı, eğitim, sağlık, devlet ağları, dini kurumlar, teknoloji, üretim ve küçük işletmeler.
Ghost fidye yazılımı şifrelemeden önce verileri dışarı sızdırıyor mu?
Ghost aktörler zaman zaman sınırlı verileri dışarı sızdırır, ancak büyük ölçekli veri hırsızlığı birincil hedefleri değildir.
Ghost tarafından yaygın olarak hangi güvenlik açıklarından yararlanılır?
Bazı önemli CVE'ler şunlardır:
- CVE-2018-13379 (Fortinet FortiOS)
- CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).
Ghost fidye yazılımı hangi araçları kullanır?
Ghost aktörler Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato ve PowerShell tabanlı komut dosyalarınıkullanmaktadır.
Kurumlar Ghost fidye yazılımına karşı nasıl savunma yapabilir?
Kuruluşlar, olağandışı etkinlikleri izleyen, istismar girişimlerini tespit eden, Cobalt Strike gibi kötü amaçlı araçları engelleyen ve şifreleme gerçekleşmeden önce saldırıları kontrol altına almak ve azaltmak için hızlı olay müdahalesini mümkün kılan tehdit algılama ve müdahale çözümlerini uygulayarak Ghost fidye yazılımına karşı savunma sağlayabilir.
Ghost fidye yazılımı ne kadar hızlı çalışır?
Çoğu durumda, saldırganlar ilk erişimi elde ettikten sonra aynı gün içinde fidye yazılımı dağıtmaktadır.
Tipik fidye talebi nedir?
Ghost aktörler, kripto para birimiyle ödenmek üzere on ila yüz binlerce dolar arasında değişen fidyeler talep ediyor.
Ghost fidye yazılımı grubu kurbanlarla nasıl iletişim kuruyor?
Şifreli e-posta hizmetleri (Tutanota, ProtonMail, Skiff, Mailfence ve Onionmail) kullanıyorlar ve son zamanlarda güvenli mesajlaşma için TOX ID'leri de kullandılar.
Kuruluşlar fidye ödemeli mi?
Siber güvenlik kurumları, veri kurtarmayı garanti etmedikleri ve daha fazla suç faaliyetini finanse edebilecekleri için fidye ödemelerini kesinlikle tavsiye etmemektedir.