Ghost ランサムウェア(Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureとしても知られている)は、他の多くのランサムウェアの脅威とは動作が異なりなり、ネットワーク内に長く留まったり、手の込んだフィッシング詐欺に頼ったりしません。その代わり、素早く動き、数日以内に 侵入し、アクセスしたその日にランサムウェア攻撃を開始することもよくあります。
Ghost はソーシャルエンジニアリングを用いるのではなく、主に古いソフトウェアの既知の脆弱性を悪用するため、パッチが適用されていないシステムを持つ組織は特に脆弱になります。
データを盗んで販売する犯罪グループとは異なり、Ghost の主な目的は暗号化して身代金を要求することです。つまり、ファイルをロックし、支払いを要求して次の行動に移るため、被害者が反応する時間がほとんど残されません。
Ghostの仕組み
初回アクセス:公開された脆弱性を突く
Ghostの攻撃者は、フィッシングメールやソーシャルエンジニアリング戦術を主な侵入経路として利用しません。代わりに、次のような公開されているシステムの既知の脆弱性を積極的に悪用します。
- Fortinet FortiOS(CVE-2018-13379)
- Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
- Microsoft SharePoint(CVE-2019-0604)
- Microsoft Exchange ProxyShell の脆弱性(CVE-2021-34473,CVE-2021-34523,CVE-2021-31207)
Ghostの攻撃者は、パッチが適用されていないソフトウェアを利用することで、ユーザーの介入なしにネットワークへの初期アクセスを取得できるため、攻撃を防ぐことがより困難になります。
迅速な実行と暗号化
ネットワーク内に侵入すると、Ghost ランサムウェアは素早く動き出します。
- 特権の昇格:攻撃者は、SharpZeroLogon や BadPotato などのツールを使用して、SYSTEM レベルのアクセス権を取得します。
- セキュリティツールの無効化: Ghostの攻撃者は検知を避けるために、Windows Defender やその他のウイルス対策ソリューションを無効にします。
- ラテラルムーブ: PowerShellコマンドとWindows Management Instrumentation (WMI) を使ってネットワーク上に拡散します。
- ファイルの暗号化: ランサムウェアのGhostロード(Ghost.exe、Ghost.exe、または ElysiumO.exe)はファイルを暗号化し、アクセス不能にします。
- 身代金の要求:暗号解読キーと引き換えに数万ドルから数十万ドルの暗号通貨を要求するメモが残されます。
限定的な永続性とデータ流出
長期的な持続性を確立する他のランサムウェアを使った攻撃者とは異なり、Ghostは数日以内に攻撃を完了する。CISAは、このグループにとって永続性が優先事項ではないことを確認しています。Cobalt Strike Team ServersやMega.nzGhost 使用して、データの流出が発生することもありますが、Ghostの攻撃者は、データを盗むことよりも、データを暗号化することに主眼を置いています。

従来のセキュリティツールがGhost を阻止できない理由
Ghost ランサムウェアは、典型的なサイバー脅威ではありません。ファイアウォール、エンドポイント検出およびレスポンス (EDR)、侵入検知システム (IDS)、さらにはセキュリティ情報およびイベント管理 (SIEM) ソリューションなどの従来のセキュリティ対策を回避します。これらのツールは、既知の攻撃シグネチャ、動作ベースライン、ルールベースの検出に大きく依存していますが、Ghost は動作が高速で、公開されている脆弱性を悪用し、攻撃を完了するまで検知を回避します。
1.Ghost 公開された脆弱性を悪用する
Ghost 、phishing malware電子メールの添付ファイルを使用しません。その代わりに、Fortinet、Microsoft Exchange、Adobe ColdFusionのパッチが適用されていないソフトウェアの脆弱性を直接悪用します。従来のセキュリティ・ツールでは、正規のアプリケーションでありながら脆弱性が悪用されていることに気づかないことがよくありました。
2.Ghostの動きが速すぎて、振る舞いベースの検知ができない
多くのセキュリティソリューションは、異常検知とエンドポイントの動作監視に依存しています。しかし、Ghost は数時間から数日のうちに攻撃を実行し、アクセスしたその日のうちにデータを暗号化することも少なくありません。SIEMシステムがログを集計・分析する頃には、すでに被害は拡大しています。
3.Ghost Windowsのネイティブツールで土地を耕して生活する
Ghostランサムウェアは、PowerShell、Windows コマンド シェル、Windows Management Instrumentation (WMI) などのネイティブ Windows コンポーネントを悪用して、正当なシステム アクティビティにシームレスに溶け込みます。IT 管理によく使用されるこれらの組み込みツールにより、セキュリティ製品が悪意のあるアクションと正当な操作を区別することが困難になります。Ghost は、LotL (Living Off the Land) によって検知を回避しながら、ネットワークをラテラルムーブしてコマンドを実行し、気付かれずにランサムウェアを展開します。
4.Ghostはセキュリティ対策を無効にする
Ghost は、Windows Defender、ウイルス対策ソフトウェア、およびその他のエンドポイント保護を積極的に無効にし、ランサムウェアのペイロードを起動する前に多くの従来の防御を無力化します。
5.Ghost 攻撃は速く、執着は必要ない。
Ghostの攻撃者は長期的な持続性を確立しないため、持続的な脅威を探す従来のセキュリティツールは、暗号化が起こる前にそれを検知できない可能性がある。
Ghost リアルタイムで検知し、阻止するVectra AIの仕組み
Ghost 、従来のセキュリティ・ソリューションにとって動きが速すぎ、多くの場合、最初のアクセスから数時間以内に実行されます。SIEM、EDR、およびその他のルールベースのツールは 、ログを分析し、パターンを検知 するのに時間がかかりすぎるため、防御者は攻撃から数歩遅れてしまいます。しかし、Vectra AIは数分以内に脅威を検知 し、優先順位をつけることができます。AI主導 脅威検知とレスポンス活用することで、Vectra AIは、暗号化が始まる前にGhost 阻止するための重要なアドバンテージをセキュリティチームに提供します。
Vectra AIが従来のセキュリティに勝る理由
1.AIを活用したAttack Signal Intelligence
Ghost は PowerShell や WMI などのネイティブ Windows ツールを悪用して、通常の管理者アクティビティに紛れ込み、環境に依存して活動します。Vectra AI は、暗号化が開始されるずっと前に、これらの巧妙な攻撃者の振る舞いをリアルタイムで検知します。これは、従来の署名ベースのツールでは不可能なことです。
2.隠れたラテラルムーブの早期発見
Ghost は SMB、WMI、RDP を使用してすばやく移動し、防御側が攻撃が進行中であることに気付く前にネットワーク全体に広がります。Vectra AI は、日常的な管理タスクに偽装されている場合でも、ステルス的なラテラルムーブを識別します。
3.リアルタイムでの脅威の優先順位付け
従来のソリューションでは、アラートが多すぎて発生が遅れるため、セキュリティ チームが時間内に対応することが困難でした。Vectra AI はノイズを排除し、動作を相関させて実際の脅威を浮き彫りにするため、防御側は即座に対応できます。
4.レスポンス 封じ込めの自動化
Ghost がラテラルムーブの段階に到達するまでに、Vectra AI はすでに脅威をエスカレーションして自動修復を実行しています。侵害されたホストは暗号化が開始される前に隔離され、広範囲にわたる被害が発生する前に Ghost の実行が停止されます。
5.署名を超えた予防
Ghost は身代金要求メッセージ、ペイロード、攻撃インジケーターを頻繁に変更するため、シグネチャベースのセキュリティでは対応できません。Vectra AI の AI 主導のアプローチは、ペイロードのバリアントに関係なく、根本的な攻撃者の行動を検出します。

従来のセキュリティは時間がかかりすぎる、Ghost攻撃を止められるのはAIだけ
Ghost ランサムウェアは従来のセキュリティの隙間を悪用し、ファイアウォール、EDR、IDS、SIEM ソリューションが間に合わないほど速く移動します。このような急速なランサムウェア攻撃から組織を守るには、AI を活用した振る舞いベースの検知と対応が必要です。Vectra AI はリアルタイムで検出して対応し、数時間や数日ではなく数分以内に Ghost やその他の脅威アクターを阻止します。
Vectra AIがどのようにランサムウェアから組織を保護するかについては、当社のプラットフォームの詳細をご覧いただくか、今すぐデモをリクエストしてください。