El grupo de
ransomware Ghost (aka Cring), respaldado por China, ha acumulado víctimas en más de 70
países desde 2021, al atacar sistemas vulnerables conectados a Internet, a
menudo pasando rápidamente del acceso inicial al ataque en un solo día.
CISA emitió
un aviso
con datos sobre cómo opera el prolífico grupo de ransomware, como advertencia
a las organizaciones con sistemas que ejecutan versiones obsoletas de software
y firmware con vulnerabilidades conocidas, que el grupo ha estado utilizando
para montar ataques exitosos. El aviso es parte de la campaña
#StopRansomware
de la agencia.
El grupo, también conocido como Cring y que opera desde China, se centra en
servicios conectados a Internet con errores sin parchear que los usuarios
podrían haber mitigado hace años. Los investigadores de ciberseguridad
comenzaron a advertir sobre el grupo en 2021. En un
ataque investigado por Sophos, el actor de amenazas aprovechó una vulnerabilidad antigua en Internet en
una instalación de Adobe ColdFusion 9 de hace 11 años para tomar el control
del servidor ColdFusion de forma remota y luego ejecutar el ransomware como
Cring en el servidor y contra otras máquinas en la red del objetivo.
Los nombres vinculados a este grupo incluyen
Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y
Rapture. Los ataques anteriores de Cring han aprovechado vulnerabilidades no seguras
del protocolo de escritorio remoto (RDP) o de la red privada virtual (VPN)
para obtener acceso inicial.
Inmediatamente después de que Amigo_A y el equipo CSIRT de Swisscom detectaran por primera vez el ransomware Ghost a principios de 2021, sus operadores lanzaron muestras personalizadas de Mimikatz, seguidas de muestras de CobaltStrike, e implementaron cargas útiles de ransomware utilizando el administrador de certificados legítimo de Windows CertUtil para eludir el software de seguridad.
Estos hallazgos demuestran la rapidez con la que un grupo de ransomware
puede entrar y salir de la red de una organización y causar daños para obtener
ganancias económicas en un período de tiempo relativamente corto. De hecho, la
CISA descubrió que la persistencia no es una preocupación para Ghost porque
«sus actores normalmente solo pasan unos días en las redes de las
víctimas. En múltiples casos, se ha observado que pasan del ataque
inicial a la implementación del ransomware en el mismo día»,
según el aviso de la CISA.
Esto es atípico en los grupos de ransomware tradicionales, que
«pueden pasar días, semanas o incluso meses desde el acceso inicial
obtenido hasta la implementación del ransomware», señala Roger Grimes, de la empresa de seguridad KnowBe4.
El aviso de CISA también destacó el impacto del ransomware Ghost en todo el
mundo y algunos de los entresijos de la estrategia de ataque del elusivo
grupo. Hasta ahora, estos ataques han alcanzado a numerosas organizaciones en
una amplia gama de industrias, incluidas infraestructuras críticas, escuelas y
universidades, atención médica, redes gubernamentales, instituciones
religiosas, empresas de tecnología y fabricación, y varias pequeñas y medianas
empresas.
En el camino, el grupo se ha centrado en vulnerabilidades en sistemas sin parches. El grupo aprovecha código de
acceso público para explotar fallas de seguridad en servidores vulnerables. Su
objetivo son vulnerabilidades que no se han corregido en Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) y Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Ghost también ha demostrado una alta capacidad de adaptación, al modificar los
ejecutables del ransomware, cambiar las extensiones de los archivos cifrados,
modificar el texto de la nota de rescate y usar numerosas direcciones de
correo electrónico de rescate. Esto
«ha llevado a una atribución variable de este grupo a lo largo del tiempo,
y en última instancia, es el culpable de los ataques atribuidos a los grupos
Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture».
Mapeo del flujo de ciberataques Ghost
Un flujo de ataque típico incluye al grupo que apunta a una de estas fallas
para obtener acceso inicial y luego se mueve rápidamente para ejecutar Cobalt
Strike (una herramienta legítima de simulación de adversarios que suelen
utilizar los actores de amenazas) como base para el ataque y las operaciones
de comando y control (C2).
Una vez que se implementa el ransomware, los actores de Ghost suelen informar
a las organizaciones en su nota de rescate que los datos exfiltrados se
venderán si no se paga un rescate. Sin embargo, curiosamente, la CISA
descubrió que
«los actores no suelen exfiltrar una cantidad significativa de información
o archivos, como propiedad intelectual o información de identificación
personal (PII), que causaría un daño significativo a las víctimas si se
filtraran». Esto sugiere que los actores están utilizando una amenaza vacía en lugar de
una verdadera capacidad de filtrar archivos valiosos para lograr que las
víctimas paguen el rescate, señala CISA.
En términos de cifrado, el grupo utiliza una variedad de
variantes de Ghost, incluidas Cring.exe, Ghost.exe, Elysium.exe y Locker.exe, para
cifrar directorios específicos o datos de todo el sistema. El grupo suele
exigir entre decenas y cientos de miles de dólares en criptomonedas a cambio
de su software de descifrado.
Además, el impacto de la actividad del ransomware Ghost varía ampliamente de
una víctima a otra, y el grupo es flexible en sus objetivos, avanzando
rápidamente
«cuando se enfrenta a sistemas reforzados, como aquellos en los que la
segmentación adecuada de la red impide el movimiento lateral hacia otros
dispositivos».
Dada la rápida capacidad de Ghost para convertir un sistema sin parches en un
ataque de ransomware exitoso, el aviso de CISA recuerda a las organizaciones
que apliquen parches a los sistemas con vulnerabilidades conocidas de forma
temprana y frecuente.
El software y el firmware sin parches (y los días cero) están involucrados en
al menos un tercio de los ataques exitosos. Todas las organizaciones tienen un
proceso de aplicación de parches, pero la mayoría no lo hace a la perfección,
y si un tercio de todos los ataques exitosos implicaron la búsqueda y
explotación de software y firmware vulnerables, realmente debería ser un
enfoque principal para todas las organizaciones.
CISA también incluyó en su aviso una lista completa de indicadores de
compromiso (IoC) asociados con ataques de ransomware Ghost, incluidas
herramientas, ejecutables y direcciones de correo electrónico, e hizo una
serie de recomendaciones adicionales que las organizaciones pueden usar para
mitigar los ataques.
Fuente: BC | AttackIQ
| Dark Reading
|
TrendMicro
|
Sophos