Den amerikanska federala polisen (FBI) och Cybersecurity and Infrastructure Security Agency (CISA) har nyligen utfärdat en gemensam varning om en ökning av attacker från ransomware-gruppen känd som Ghost eller Cring. Denna grupp, som tros ha sitt ursprung i Kina, har sedan början av 2021 utnyttjat sårbarheter i föråldrad mjukvara och firmware för att infiltrera nätverk i över 70 länder, inklusive Kina. Deras mål sträcker sig över flera sektorer, såsom kritisk infrastruktur, utbildning, hälso- och sjukvård, statliga nätverk, religiösa institutioner samt små och medelstora företag.
Metoder och tekniker
Ghost-gruppen är känd för att utnyttja kända sårbarheter i internetexponerade tjänster. De riktar in sig på system där säkerhetsuppdateringar inte har implementerats, vilket gör det möjligt för dem att få obehörig åtkomst. Några av de sårbarheter som ofta utnyttjas inkluderar:
• Fortinet FortiOS-apparater: Sårbarhet identifierad som CVE-2018-13379.
• Adobe ColdFusion-servrar: Sårbarheter identifierade som CVE-2010-2861 och CVE-2009-3960.
• Microsoft SharePoint: Sårbarhet identifierad som CVE-2019-0604.
• Microsoft Exchange: Sårbarheter kända som ProxyShell, inklusive CVE-2021-34473, CVE-2021-34523 och CVE-2021-31207.
Efter att ha fått initial åtkomst laddar angriparna ofta upp en webbshell på den komprometterade servern och använder verktyg som Windows Command Prompt eller PowerShell för att ladda ner och köra Cobalt Strike Beacon-malware. Denna metod möjliggör implantation av skadlig kod på offrets system.
Rekommendationer för skydd
För att minska risken för intrång från Ghost-ransomware rekommenderar FBI och CISA följande åtgärder:
1. Regelbundna systembackuper: Säkerställ att säkerhetskopior lagras separat från huvudsystemen och inte kan påverkas av potentiellt komprometterade enheter.
2. Snabb tillämpning av säkerhetsuppdateringar: Håll operativsystem, mjukvara och firmware uppdaterade genom att applicera säkerhetsuppdateringar inom en riskinformerad tidsram.
3. Nätverkssegmentering: Begränsa lateral rörelse inom nätverket genom att segmentera det, vilket förhindrar att en komprometterad enhet påverkar andra delar av nätverket.
4. Införande av phishing-resistent multifaktorautentisering (MFA): Kräv MFA för åtkomst till alla privilegierade konton och e-posttjänster för att förhindra obehörig åtkomst.
Slutsats
Den ökade aktiviteten från Ghost (Cring) ransomware-gruppen understryker vikten av proaktiva säkerhetsåtgärder. Organisationer uppmanas att regelbundet granska och uppdatera sina säkerhetsprotokoll för att skydda sina system mot dessa och liknande hot.
Källförteckning
• The Record – FBI och CISA varnar för Ghost-ransomware
• CISA och partners varnar för Ghost-ransomware
• Industrial Cyber – Ghost-ransomware riktar in sig på kritisk infrastruktur