CISA ve FBI, hayalet fidye yazılımlarını konuşlandıran saldırganların, kritik altyapı organizasyonları da dahil olmak üzere 70'den fazla ülkedeki birden fazla endüstri sektöründen kurbanları ihlal ettiğini söyledi.
Etkilenen diğer endüstriler arasında sağlık, hükümet, eğitim, teknoloji, üretim ve çok sayıda küçük ve orta ölçekli işletme bulunmaktadır.
"2021'in başından itibaren, hayalet aktörler, internetle yüzleşen hizmetler yazılım ve ürün yazılımı sürümlerini işleten kurbanlara saldırmaya başladı." Çarşamba.
Diyerek şöyle devam etti: "Güvenlik açıkları içeren ağların bu ayrım gözetmeden hedeflenmesi, Çin'deki kuruluşlar da dahil olmak üzere 70'den fazla ülkedeki kuruluşların uzlaşmasına yol açtı."
Ghost fidye yazılımı operatörleri, kötü amaçlı yazılım yürütülebilir ürünlerini sık sık döndürür, şifrelenmiş dosyaların dosya uzantılarını değiştirir, fidye notlarının içeriğini değiştirir ve fidye iletişimi için genellikle grubun zaman içinde dalgalanma atfedilmesine yol açan birden fazla e -posta adresi kullanır.
Bu gruba bağlı isimler arasında Ghost, Cring, Crypt3R, Phantom, Strike, Hello, Wickrme, Hsharada ve Rapture, cring.exe, Ghost.exe, Elysiumo.exe ve Locker.exe gibi saldırılarında kullanılan fidye yazılımı örnekleri bulunur.
Bu finansal olarak motive olmuş fidye yazılımı grubu, savunmasız sunuculardaki güvenlik kusurlarından yararlanmak için halka açık kodlardan yararlanır. Fortinet (CVE-2018-13379), ColdFusion (CVE-2011-2861, CVE-2009-3960) ve değişim (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 ).
Hayalet fidye yazılımı saldırılarına karşı savunmak için, ağ savunucularına aşağıdaki önlemleri almaları tavsiye edilir:
Amigo_A ve Swisscom'un CSIRT ekibi ilk olarak 2021'in başlarında Ghost Fidyeware'i gördükten hemen sonra, operatörleri özel Mimikatz örneklerini bırakıyorlardı, ardından CobaltStrike Beacons izliyorlar ve güvenlik yazılımlarını atlamak için meşru Windows Cerutil Sertifika Yöneticisi kullanarak fidye yazılımı yükleri dağıtıyorlardı.
Hayalet fidye yazılımı saldırılarına ilk erişim için sömürülmesinin yanı sıra, savunmasız Fortinet SSL VPN aletleri için taranan devlet destekli hack grupları da CVE-2018-13379 güvenlik açığını hedefledi.
Saldırganlar ayrıca internete maruz kalan ABD seçim destek sistemlerini internet üzerinden ulaşabilecek güvenlik açığını da kötüye kullandı.
Fortinet, müşterileri SSL VPN aletlerini CVE-2018-13379'a karşı Ağustos 2019, Temmuz 2020, Kasım 2020, ve Nisan 2021'de birkaç kez yamaları konusunda uyardı.
CISA, FBI ve MS-ISAC tarafından yayınlanan ortak danışma, bugün aynı zamanda uzlaşma göstergelerini (IOC'ler), taktikler, teknikler ve prosedürler (TTP'ler) ve FBI araştırmaları sırasında tanımlanan önceki hayalet fidye yazılımı etkinliğine bağlı tespit yöntemlerini de içeriyor. Ocak 2025.
CISA: Bilgisayar korsanları hala ağları ihlal etmek için eski Ivanti hatalarını sömürüyor
Cisa Flags Craft CMS kod enjeksiyon kusurunu saldırılarda sömürüldüğü gibi
Black Basta Ransomware Gang'ın dahili sohbet günlükleri çevrimiçi sızıntı
EU Healthcare Orgs'a karşı kullanılan yeni Nailaolocker fidye yazılımı
Fidye Yazılımı Saldırısının neden olduğu Lee Enterprises gazete kesintileri
Kaynak: Bleeping Computer