Ghost
Ghost (Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureとしても知られる)は中国発のランサムウェア・グループで、時代遅れのソフトウェアの脆弱性を悪用し、世界中の組織を標的としている。
Ghost ランサムウェアの起源
Ghost 、2021年初頭に出現した金銭的動機に基づく脅威グループである。このグループは中国を拠点に活動していると考えられており、動きが速く、非常に場当たり的な攻撃で知られています。CISAによると、長期的な持続性を確立する一部のランサムウェアアクターとは異なり、Ghost オペレーターは通常、ネットワークに侵入し、ランサムウェアを展開し、わずか数日以内に退出する。時代遅れのソフトウェアの脆弱性を悪用することで、迅速に特権を昇格させ、セキュリティ防御を無効にし、重要なファイルを暗号化するため、被害者には対応する時間がほとんどありません。彼らの目標は単純で、防御側が攻撃を検知 緩和する前に、できるだけ早く金銭的利益を最大化することである。
Ghost標的国
Ghost 70カ国以上の組織を危険にさらしており、中国やその他多くの場所での攻撃も確認されている。
Ghost狙う産業
Ghost 攻撃者は、重要インフラ、教育、医療、政府ネットワーク、宗教団体、テクノロジー、製造業など、幅広い業界を標的としている。中小企業も頻繁に被害を受けている。
Ghost犠牲者
具体的な被害者名は必ずしも公表されていないが、Ghost 事件は様々な分野の組織に影響を与えている。金銭的な恐喝が中心であることから、被害者には貴重なデータを持ち、サイバーセキュリティの防御が限定的な機関が含まれることが多い。
Ghost攻撃方法
Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchangeの脆弱性(ProxyShellの脆弱性)を悪用して不正アクセスを行います。
攻撃者は、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotatoなどのツールを使って特権を昇格させ、高レベルのシステム・ユーザーになりすます。
このグループは、Windows Defenderやその他のアンチウイルスソリューションを無効にし、セキュリティツールを変更し、検出されないようにコマンドを実行する。
Ghost Cobalt Strike"hashdump "機能とMimikatzを利用してログイン認証情報を盗む。
攻撃者は、SharpSharesやLadon 911のようなツールを使って、ドメイン・アカウントの発見、プロセスの発見、ネットワーク共有の列挙を行う。
PowerShellコマンドとWindows Management Instrumentation(WMI)は、被害者ネットワークを移動するために使用される。
このランサムウェアは、PowerShell、Windowsコマンドシェル、アップロードされたウェブシェルを使って実行される。
データ窃盗が主な目的ではないが、Cobalt Strike TeamサーバーやMega.nzクラウドストレージ経由で盗まれるファイルもある。
このランサムウェアは、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeを使ってファイルを暗号化し、身代金を支払わない限り被害者のデータをアクセス不能にする。
Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchangeの脆弱性(ProxyShellの脆弱性)を悪用して不正アクセスを行います。
攻撃者は、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotatoなどのツールを使って特権を昇格させ、高レベルのシステム・ユーザーになりすます。
このグループは、Windows Defenderやその他のアンチウイルスソリューションを無効にし、セキュリティツールを変更し、検出されないようにコマンドを実行する。
Ghost Cobalt Strike"hashdump "機能とMimikatzを利用してログイン認証情報を盗む。
攻撃者は、SharpSharesやLadon 911のようなツールを使って、ドメイン・アカウントの発見、プロセスの発見、ネットワーク共有の列挙を行う。
PowerShellコマンドとWindows Management Instrumentation(WMI)は、被害者ネットワークを移動するために使用される。
このランサムウェアは、PowerShell、Windowsコマンドシェル、アップロードされたウェブシェルを使って実行される。
データ窃盗が主な目的ではないが、Cobalt Strike TeamサーバーやMega.nzクラウドストレージ経由で盗まれるファイルもある。
このランサムウェアは、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeを使ってファイルを暗号化し、身代金を支払わない限り被害者のデータをアクセス不能にする。
Ghost使用したTTP
Vectra AIでGhost 検知 する方法
よくあるご質問(FAQ)
Ghost (Cring)ランサムウェアはどのようにしてネットワークにアクセスするのか?
Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchange(ProxyShellの脆弱性)など、旧式のソフトウェアに存在する既知の脆弱性を悪用します。
Ghost ランサムウェアに最も狙われる業種は?
重要インフラ、教育、医療、政府ネットワーク、宗教機関、テクノロジー、製造業、中小企業。
Ghost ランサムウェアは暗号化の前にデータを流出させるのか?
Ghost 時折限られたデータを流出させるが、大規模なデータ窃盗は彼らの主要目的ではない。
Ghostよく悪用されるセキュリティの脆弱性は?
注目すべきCVEには次のようなものがある:
- CVE-2018-13379(Fortinet FortiOS)
- CVE-2010-2861、CVE-2009-3960(Adobe ColdFusion)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207(Microsoft Exchange ProxyShell)。
Ghost ランサムウェアはどのようなツールを使用するのか?
Ghost 、Cobalt Strike、Mimikatz、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotato、PowerShellベースのスクリプトを利用する。
Ghost 組織を守るには?
組織は、異常な活動を監視し、悪用の検知 し、Cobalt Strikeような悪意のあるツールをブロックし、暗号化が発生する前に攻撃を封じ込め、緩和するための迅速なレスポンス 可能にする脅威検知およびレスポンス 導入することで、Ghost ランサムウェアを防御することができます。
Ghost ランサムウェアの動作速度は?
多くの場合、攻撃者は最初のアクセスを得てからその日のうちにランサムウェアを展開する。
典型的な身代金要求とは?
Ghost 、暗号通貨で支払う数万ドルから数十万ドルの身代金を要求する。
Ghost 被害者とどのように連絡を取っているのか?
彼らは暗号化された電子メールサービス(Tutanota、ProtonMail、Skiff、Mailfence、Onionmail)を使っており、最近では安全なメッセージングにTOX IDも使っている。
組織は身代金を支払うべきか?
サイバーセキュリティ機関は、身代金の支払いはデータ復旧を保証せず、さらなる犯罪行為の資金源となる可能性があるため、強く推奨していない。