サイバー攻撃速報:AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

サイバー攻撃速報: AWS S3におけるコードフィンガー型ランサムウェアの防御 > コードフィンガー型ランサムウェアの防御

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

Ghost

Ghost (Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureとしても知られる)は中国発のランサムウェア・グループで、時代遅れのソフトウェアの脆弱性を悪用し、世界中の組織を標的としている。

検知GhostTTP
あなたの組織はGhost攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

Ghost ランサムウェアの起源

Ghost 、2021年初頭に出現した金銭的動機に基づく脅威グループである。このグループは中国を拠点に活動していると考えられており、動きが速く、非常に場当たり的な攻撃で知られています。CISAによると、長期的な持続性を確立する一部のランサムウェアアクターとは異なり、Ghost オペレーターは通常、ネットワークに侵入し、ランサムウェアを展開し、わずか数日以内に退出する。時代遅れのソフトウェアの脆弱性を悪用することで、迅速に特権を昇格させ、セキュリティ防御を無効にし、重要なファイルを暗号化するため、被害者には対応する時間がほとんどありません。彼らの目標は単純で、防御側が攻撃を検知 緩和する前に、できるだけ早く金銭的利益を最大化することである。

Ghost ランサムウェアの起源
ターゲット

Ghostターゲット

Ghost標的国

Ghost 70カ国以上の組織を危険にさらしており、中国やその他多くの場所での攻撃も確認されている。

Ghost狙う産業

Ghost 攻撃者は、重要インフラ、教育、医療、政府ネットワーク、宗教団体、テクノロジー、製造業など、幅広い業界を標的としている。中小企業も頻繁に被害を受けている。

Ghost狙う産業

Ghost 攻撃者は、重要インフラ、教育、医療、政府ネットワーク、宗教団体、テクノロジー、製造業など、幅広い業界を標的としている。中小企業も頻繁に被害を受けている。

Ghost犠牲者

具体的な被害者名は必ずしも公表されていないが、Ghost 事件は様々な分野の組織に影響を与えている。金銭的な恐喝が中心であることから、被害者には貴重なデータを持ち、サイバーセキュリティの防御が限定的な機関が含まれることが多い。

攻撃方法

Ghost攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchangeの脆弱性(ProxyShellの脆弱性)を悪用して不正アクセスを行います。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

攻撃者は、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotatoなどのツールを使って特権を昇格させ、高レベルのシステム・ユーザーになりすます。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、Windows Defenderやその他のアンチウイルスソリューションを無効にし、セキュリティツールを変更し、検出されないようにコマンドを実行する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Ghost Cobalt Strike"hashdump "機能とMimikatzを利用してログイン認証情報を盗む。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

攻撃者は、SharpSharesやLadon 911のようなツールを使って、ドメイン・アカウントの発見、プロセスの発見、ネットワーク共有の列挙を行う。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

PowerShellコマンドとWindows Management Instrumentation(WMI)は、被害者ネットワークを移動するために使用される。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

このランサムウェアは、PowerShell、Windowsコマンドシェル、アップロードされたウェブシェルを使って実行される。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データ窃盗が主な目的ではないが、Cobalt Strike TeamサーバーやMega.nzクラウドストレージ経由で盗まれるファイルもある。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

このランサムウェアは、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeを使ってファイルを暗号化し、身代金を支払わない限り被害者のデータをアクセス不能にする。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchangeの脆弱性(ProxyShellの脆弱性)を悪用して不正アクセスを行います。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

攻撃者は、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotatoなどのツールを使って特権を昇格させ、高レベルのシステム・ユーザーになりすます。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、Windows Defenderやその他のアンチウイルスソリューションを無効にし、セキュリティツールを変更し、検出されないようにコマンドを実行する。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Ghost Cobalt Strike"hashdump "機能とMimikatzを利用してログイン認証情報を盗む。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

攻撃者は、SharpSharesやLadon 911のようなツールを使って、ドメイン・アカウントの発見、プロセスの発見、ネットワーク共有の列挙を行う。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

PowerShellコマンドとWindows Management Instrumentation(WMI)は、被害者ネットワークを移動するために使用される。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

このランサムウェアは、PowerShell、Windowsコマンドシェル、アップロードされたウェブシェルを使って実行される。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データ窃盗が主な目的ではないが、Cobalt Strike TeamサーバーやMega.nzクラウドストレージ経由で盗まれるファイルもある。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

このランサムウェアは、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeを使ってファイルを暗号化し、身代金を支払わない限り被害者のデータをアクセス不能にする。

MITRE ATT&CK マッピング

Ghost使用したTTP

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1057
Process Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1573
Encrypted Channel
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIでGhost 検知 する方法

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

Ghost (Cring)ランサムウェアはどのようにしてネットワークにアクセスするのか?

Ghost 、Fortinet FortiOS、Adobe ColdFusion、Microsoft SharePoint、Microsoft Exchange(ProxyShellの脆弱性)など、旧式のソフトウェアに存在する既知の脆弱性を悪用します。

Ghost ランサムウェアに最も狙われる業種は?

重要インフラ、教育、医療、政府ネットワーク、宗教機関、テクノロジー、製造業、中小企業。

Ghost ランサムウェアは暗号化の前にデータを流出させるのか?

Ghost 時折限られたデータを流出させるが、大規模なデータ窃盗は彼らの主要目的ではない。

Ghostよく悪用されるセキュリティの脆弱性は?

注目すべきCVEには次のようなものがある:

  • CVE-2018-13379(Fortinet FortiOS)
  • CVE-2010-2861、CVE-2009-3960(Adobe ColdFusion)
  • CVE-2021-34473, CVE-2021-34523, CVE-2021-31207(Microsoft Exchange ProxyShell)。

Ghost ランサムウェアはどのようなツールを使用するのか?

Ghost 、Cobalt Strike、Mimikatz、SharpZeroLogon、SharpGPPPass、BadPotato、GodPotato、PowerShellベースのスクリプトを利用する。

Ghost 組織を守るには?

組織は、異常な活動を監視し、悪用の検知 し、Cobalt Strikeような悪意のあるツールをブロックし、暗号化が発生する前に攻撃を封じ込め、緩和するための迅速なレスポンス 可能にする脅威検知およびレスポンス 導入することで、Ghost ランサムウェアを防御することができます。

Ghost ランサムウェアの動作速度は?

多くの場合、攻撃者は最初のアクセスを得てからその日のうちにランサムウェアを展開する。

典型的な身代金要求とは?

Ghost 、暗号通貨で支払う数万ドルから数十万ドルの身代金を要求する。

Ghost 被害者とどのように連絡を取っているのか?

彼らは暗号化された電子メールサービス(Tutanota、ProtonMail、Skiff、Mailfence、Onionmail)を使っており、最近では安全なメッセージングにTOX IDも使っている。

組織は身代金を支払うべきか?

サイバーセキュリティ機関は、身代金の支払いはデータ復旧を保証せず、さらなる犯罪行為の資金源となる可能性があるため、強く推奨していない

あなたの組織はGhost攻撃から安全ですか?

攻撃の危険性を評価する