Ghost
Ghost (Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureとしても知られる)は中国発のランサムウェア・グループで、時代遅れのソフトウェアの脆弱性を悪用し、世界中の組織を標的としている。
Ghostランサムウェアの起源
Ghostは、2021年初頭に出現した金銭目的の脅威グループです。このグループは中国を拠点としていると考えられており、迅速かつ極めて機会主義的な攻撃で知られています。長期にわたる永続性を確立する一部のランサムウェア攻撃者とは異なり、Ghostのオペレーターは通常、ネットワークに侵入し、ランサムウェアを展開し、わずか数日で撤退します、CISAによると。古いソフトウェアの脆弱性を悪用することで、権限を迅速に昇格させ、セキュリティ防御を無効にし、重要なファイルを暗号化するため、被害者は対応する時間がほとんどありません。彼らの目標は単純です。防御側が攻撃を検知して軽減する前に、できるだけ早く金銭的利益を最大化することです。
Ghostの標的国
Ghostは70カ国以上の組織を侵害しており、中国やその他多数の場所での攻撃が確認されています。
Ghost狙う産業
Ghostランサムウェアの攻撃者は、重要インフラ、教育、医療、政府ネットワーク、宗教機関、テクノロジー、製造業など、幅広い業界を標的にしています。中小企業も頻繁に被害を受けています。
Ghostの被害対象
被害者の具体的な名前は必ずしも公表されるわけではありませんが、Ghostランサムウェアの被害は様々な分野の組織に及んでいる。金銭的な恐喝が主な目的であるため、被害者には貴重なデータを抱え、サイバーセキュリティ対策が不十分な組織が含まれることが多いです。
Ghostの攻撃方法
Ghost アクターは、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、および Microsoft Exchange (ProxyShell の脆弱性) の脆弱性を悪用して、不正アクセスを取得します。
攻撃者は、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotatoなどのツールを使って特権を昇格させ、高レベルのシステム・ユーザーになりすます。
このグループは、Windows Defender やその他のウイルス対策ソリューションを無効化し、セキュリティツールを変更し、検知されないようにコマンドを実行します。
Ghostのアクターは、Cobalt Strikeの「ハッシュダンプ」機能とMimikatzを利用してログイン認証情報を盗みます。
攻撃者は、SharpSharesやLadon 911などのツールを使用して、ドメインアカウントの検知、プロセスの検知、ネットワーク共有の列挙を実行します。
PowerShell コマンドと Windows Management Instrumentation (WMI) は、被害者のネットワークを横断するために使用されます。
このランサムウェアは、PowerShell、Windowsコマンドシェル、アップロードされたウェブシェルを使って実行されます。
データ窃盗は主な目的ではありませんが、一部のファイルはCobalt Strike Team ServersおよびMega.nzクラウドストレージを介して盗まれています。
このランサムウェアは、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeを使用してファイルを暗号化し、身代金が支払われない限り被害者のデータにアクセスできないようにします。
Ghost アクターは、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、および Microsoft Exchange (ProxyShell の脆弱性) の脆弱性を悪用して、不正アクセスを取得します。
攻撃者は、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotatoなどのツールを使って特権を昇格させ、高レベルのシステム・ユーザーになりすます。
このグループは、Windows Defender やその他のウイルス対策ソリューションを無効化し、セキュリティツールを変更し、検知されないようにコマンドを実行します。
Ghostのアクターは、Cobalt Strikeの「ハッシュダンプ」機能とMimikatzを利用してログイン認証情報を盗みます。
攻撃者は、SharpSharesやLadon 911などのツールを使用して、ドメインアカウントの検知、プロセスの検知、ネットワーク共有の列挙を実行します。
PowerShell コマンドと Windows Management Instrumentation (WMI) は、被害者のネットワークを横断するために使用されます。
このランサムウェアは、PowerShell、Windowsコマンドシェル、アップロードされたウェブシェルを使って実行されます。
データ窃盗は主な目的ではありませんが、一部のファイルはCobalt Strike Team ServersおよびMega.nzクラウドストレージを介して盗まれています。
このランサムウェアは、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeを使用してファイルを暗号化し、身代金が支払われない限り被害者のデータにアクセスできないようにします。
Ghostが使用するTTP
Vectra AIがGhostを検知する方法
よくある質問 (FAQ)
Ghost (Cring)ランサムウェアはどのようにしてネットワークにアクセスするのか?
Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchange(ProxyShellの脆弱性)など、旧式のソフトウェアに存在する既知の脆弱性を悪用します。
Ghost ランサムウェアに最も狙われる業種は?
重要インフラ、教育、医療、政府ネットワーク、宗教機関、テクノロジー、製造業、中小企業。
Ghost ランサムウェアは暗号化の前にデータを流出させるのか?
Ghost 時折限られたデータを流出させるが、大規模なデータ窃盗は彼らの主要目的ではない。
Ghostよく悪用されるセキュリティの脆弱性は?
注目すべきCVEには次のようなものがある:
- CVE-2018-13379(Fortinet FortiOS)
- CVE-2010-2861、CVE-2009-3960(Adobe ColdFusion)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207(Microsoft Exchange ProxyShell)。
Ghost ランサムウェアはどのようなツールを使用するのか?
Ghost 、Cobalt Strike、Mimikatz、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotato、PowerShellベースのスクリプトを利用する。
Ghost 組織を守るには?
組織は、異常な活動を監視し、悪用の検知 し、Cobalt Strikeような悪意のあるツールをブロックし、暗号化が発生する前に攻撃を封じ込め、緩和するための迅速なレスポンス 可能にする脅威検知およびレスポンス 導入することで、Ghost ランサムウェアを防御することができます。
Ghost ランサムウェアの動作速度は?
多くの場合、攻撃者は最初のアクセスを得てからその日のうちにランサムウェアを展開する。
典型的な身代金要求とは?
Ghost 、暗号通貨で支払う数万ドルから数十万ドルの身代金を要求する。
Ghost 被害者とどのように連絡を取っているのか?
彼らは暗号化された電子メールサービス(Tutanota、ProtonMail、Skiff、Mailfence、Onionmail)を使っており、最近では安全なメッセージングにTOX IDも使っている。
組織は身代金を支払うべきか?
サイバーセキュリティ機関は、身代金の支払いはデータ復旧を保証せず、さらなる犯罪行為の資金源となる可能性があるため、強く推奨していない。