Под удар попала критическая инфраструктура, здравоохранение, образовательные учреждения, технологические компании, производственные предприятия и малый бизнес. Об этом сообщили CISA, ФБР и MS-ISAC в совместном предупреждении.
Атаки Ghost начались в 2021 году. Хакеры эксплуатируют устаревшие версии программного обеспечения и прошивок, получая доступ к корпоративным сетям. Их жертвами стали организации в США, Европе, Азии и Китае, пишет Securitylab.
Сама группировка использует разные названия: Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. В атаках применяются файлы «Cring.exe», «Ghost.exe», «ElysiumO.exe» и «Locker.exe». Преступники часто меняют код вредоносных программ, расширения зашифрованных файлов и тексты вымогательских записок, что усложняет их отслеживание.
Ghost активно использует общедоступные инструменты для атак на уязвимые серверы. Взломщики эксплуатируют известные уязвимости в продуктах Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861 , CVE-2009-3960) и Microsoft Exchange (CVE-2021-34473 , CVE-2021-34523 , CVE-2021-31207). Среди их целей оказались и системы, связанные с выборами в США.
CISA и ФБР рекомендуют компаниям защитить свои сети от атак Ghost. Ключевые меры включают регулярное резервное копирование, установку актуальных обновлений, изоляцию критически важных систем и обязательное использование многофакторной аутентификации.