В феврале 2025 года Агентство по кибербезопасности и защите инфраструктуры (CISA), ФБР и Международный центр обмена информацией и анализа (MS-ISAC) представили рекомендации о тактике, методах и процедурах (TTP), используемых программой-вымогателем Ghost (Cring). Это вредоносное ПО, нацеленное на финансовую выгоду, активно функционирует с 2021 года и представляет серьезную угрозу для организаций с уязвимыми системами доступа в Интернет.
Как работает Ghost (Cring)
Программа-вымогатель Ghost (Cring) демонстрирует сложную многоступенчатую методологию атаки:
- Использование уязвимостей в системах, подключенных к Интернету, таких как ошибка обхода каталогов в FortiOS от Fortinet (CVE-2018-13379).
- Получение незашифрованных учетных данных VPN для удаленного доступа к целевым сетям.
- Развертывание вредоносной программы через средства удаленного выполнения, такие как PsExec или WMI.
Применяя тактику «жизни за пределами земли», злоумышленники используют законные системные инструменты, что позволяет обходить традиционные меры безопасности. После успешной компрометации они стремятся получить административный доступ, используя неправильно настроенные разрешения, а затем обнаруживают ценные данные для повышения эффективности своих атак.
Шифрование и требования о выкупе
Ghost (Cring) обращает внимание на важные процессы управления базами данных и программным обеспечением безопасности перед началом шифрования файлов. Этот шаг дополнительным образом гарантирует, что процесс не будет контролироваться. Шифрование осуществляется с использованием гибридной системы:
- Файлы шифруются с помощью AES-256.
- Ключи шифрования защищаются методом RSA-2048.
После окончания шифрования жертвы получают уведомление о требовании выкупа с инструкциями по оплате, часто требуя криптовалюту для сокрытия транзакций.
Механизмы сохранения и постоянный доступ
Чтобы сохранить свои позиции в системе, Ghost (Cring) использует различные механизмы, включая:
- Создание запланированных задач для повторного выполнения при перезапуске системы.
- Изменение системных реестров.
- Развертывание бэкдоров для постоянного удаленного доступа.
Некоторые варианты программы также применяют методы без использования файлов, что усложняет обнаружение.
Рекомендации по защите
Для снижения рисков, связанных с программами-вымогателями, организациям необходимо принять многоуровневый подход к кибербезопасности, который включает:
- Внедрение решений расширенного обнаружения и реагирования (XDR).
- Сегментацию сети для ограничения горизонтального перемещения.
- Отключение ненужных служб и частое исправление критических уязвимостей (например, CVE-2020-1472, CVE-2014-1812).
- Строгую фильтрацию электронной почты, чтобы предотвратить попытки фишинга.
- Использование DNS-фильтрации против известных вредоносных доменов.
- Создание автономных зашифрованных резервных копий.
Кроме того, организациям рекомендуется разработать планы реагирования на инциденты с протоколами локализации, устранения и восстановления после атаки программ-вымогателей. Полные рекомендации можно найти на ресурсах CISA.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Программа-вымогатель Ghost: угроза для критически важных данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.