Le ransomwareGhost (également connu sous les noms de Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada et Rapture) fonctionne différemment de nombreuses autres menaces de ransomware : il ne s'attarde pas dans les réseaux et ne s'appuie pas sur des stratagèmes d'phishing élaborés. Au contraire, elle se déplace rapidement, entrant et sortant en quelques jours, lançant souvent son attaque de ransomware le jour même où elle obtient l'accès.
Plutôt que d'utiliser l'ingénierie sociale, Ghost exploite principalement les vulnérabilités connues des logiciels obsolètes, ce qui rend les organisations dont les systèmes n'ont pas été corrigés particulièrement vulnérables.
Contrairement aux groupes qui volent et vendent des données, l'objectif principal de Ghostest de crypter les données et d'exiger une rançon. Il verrouille les fichiers, exige le paiement et passe à autre chose, laissant peu de temps aux victimes pour réagir.
Comment fonctionne le ransomware Ghost
Accès initial : exploitation des vulnérabilités publiques
Les acteurs Ghost ne s'appuient pas sur des courriels d'phishing ou des tactiques d'ingénierie sociale comme point d'entrée principal. Au contraire, ils exploitent agressivement les vulnérabilités connues des systèmes accessibles au public, notamment :
- Fortinet FortiOS(CVE-2018-13379)
- Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
- Microsoft SharePoint(CVE-2019-0604)
- Vulnérabilités de Microsoft Exchange ProxyShell(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
En tirant parti de logiciels non corrigés, les acteurs Ghost peuvent obtenir un accès initial à un réseau sans nécessiter d'interaction de la part de l'utilisateur, ce qui rend leurs attaques plus difficiles à prévenir.
Exécution et cryptage rapides
Une fois à l'intérieur d'un réseau, le ransomware Ghost se déplace rapidement:
- Augmentation des privilèges : Les attaquants utilisent des outils tels que SharpZeroLogon et BadPotato pour obtenir un accès au niveau SYSTEM.
- Désactivation des outils de sécurité : Les acteurs Ghost désactivent Windows Defender et d'autres solutions antivirus pour éviter d'être détectés.
- Mouvement latéral : Ils se propagent sur le réseau à l'aide de commandes PowerShell et de Windows Management Instrumentation (WMI).
- Chiffrement des fichiers : La charge Ghost du ransomware - Ghost.exe, Ghost.exe ou ElysiumO.exe - crypte les fichiers, les rendant inaccessibles.
- Demande de rançon : Une note est laissée derrière, demandant des dizaines ou des centaines de milliers de dollars en crypto-monnaie pour les clés de décryptage.
Persistance limitée et exfiltration de données
Contrairement à d'autres opérateurs de ransomware qui établissent une persistance à long terme, les acteursGhost terminent leur attaque en quelques jours. La CISA a observé que la persistance n'est pas une priorité pour ce groupe. Bien qu'il y ait une certaine exfiltration de données - souvent à l'aide des serveurs Cobalt Strike Team ou du stockage cloud Mega.nz Ghost les acteurs de Ghost se concentrent principalement sur le chiffrement des données plutôt que sur leur vol.
Pourquoi les outils de sécurité traditionnels ne parviennent pas à arrêter le ransomware Ghost
Le ransomware Ghost n'est pas une cybermenace classique. Il contourne les mesures de sécurité traditionnelles telles que les pare-feux, les Endpoint de détection et de réponse (EDR), les systèmes de détection d'intrusion (IDS) et même les solutions de gestion des informations et des événements de sécurité (SIEM). Ces outils s'appuient fortement sur des signatures d'attaques connues, des lignes de base comportementales et une détection basée sur des règles, mais Ghost opère trop rapidement, exploite des vulnérabilités publiques et échappe à la détection suffisamment longtemps pour mener à bien son attaque.
1. Ghost exploite des vulnérabilités publiques
Ghost n'utilise pas d'phishing ni de pièces jointes malware. Il exploite directement des vulnérabilités logicielles non corrigées dans Fortinet, Microsoft Exchange et Adobe ColdFusion. Les outils de sécurité traditionnels ne parviennent souvent pas à repérer les applications légitimes mais vulnérables qui sont exploitées.
2. Le Ghost se déplace trop rapidement pour une détection basée sur le comportement
De nombreuses solutions de sécurité s'appuient sur la détection des anomalies et la surveillance du comportement des endpoint . Cependant, les opérateursGhost exécutent leur attaque en l'espace de quelques heures ou de quelques jours, en chiffrant souvent les données le jour même où ils obtiennent l'accès. Le temps que les systèmes SIEM rassemblent et analysent les journaux, le mal est déjà fait.
3. Ghost vit de la terre avec les outils Windows locaux
Le ransomware Ghost se fond dans l'activité légitime du système en abusant des composants natifs de Windows tels que PowerShell, Windows Command Shell et Windows Management Instrumentation (WMI). Ces outils intégrés, couramment utilisés pour l'administration informatique, font qu'il est difficile pour les produits de sécurité de distinguer les actions malveillantes des opérations légitimes. En vivant sur le terrain (LotL), Ghost évite d'être détecté tout en se déplaçant latéralement sur le réseau, en exécutant des commandes et en déployant des ransomwares sans se faire remarquer.
4. Ghost désactive les mesures de sécurité
Ghost désactive activement Windows Defender, les logiciels antivirus et d'autres protections des endpoint , neutralisant ainsi de nombreuses défenses traditionnelles avant de lancer la charge utile du ransomware.
5. Le Ghost frappe rapidement sans qu'il soit nécessaire de persévérer
Étant donné que les acteurs Ghost n'établissent pas de persistance à long terme, les outils de sécurité traditionnels qui recherchent des menaces durables risquent de ne pas les détecter avant que le chiffrement ne se produise.
Comment Vectra AI détecte et arrête Ghost en temps réel
Les ransomwares Ghost se déplacent trop rapidement pour les solutions de sécurité traditionnelles, s'exécutant souvent dans les heures qui suivent l'accès initial. Les outils SIEM, EDR et autres outils basés sur des règles prennent trop de temps pour analyser les journaux et détecter des modèles, laissant les défenseurs avec plusieurs étapes de retard sur l'attaque. Vectra AI, en revanche, peut détecter et hiérarchiser les menaces en quelques minutes, bien plus rapidement que les solutions traditionnelles, qui peuvent prendre des heures, voire des jours, pour réagir. En s'appuyant sur la détection et la réponse aux menaces pilotées par l'IA, Vectra AI donne aux équipes de sécurité un avantage critique pour arrêter Ghost avant que le chiffrement ne commence.
Pourquoi Vectra AI surpasse la sécurité traditionnelle
1. Attack Signal Intelligence alimentée par l'IA
Ghost vit dans l'ombre, en abusant d'outils Windows natifs comme PowerShell et WMI pour se fondre dans l'activité normale d'un administrateur. Vectra AI détecte ces comportements subtils des attaquants en temps réel, bien avant que le chiffrement ne commence, ce queles outils traditionnels basés sur des signatures ne parviennent pas à faire.
2. Détection précoce des mouvements latéraux cachés
Ghost se déplace rapidement en utilisant SMB, WMI et RDP, se propageant à travers le réseau avant même que les défenseurs ne se rendent compte qu'une attaque est en cours. Vectra AI identifie les mouvements latéraux furtifsmême lorsqu'il est déguisé en tâches administratives de routine.
3. Hiérarchisation des menaces en temps réel
Les solutions traditionnelles génèrent trop d'alertes, trop tard, ce qui empêche les équipes de sécurité de réagir à temps. Vectra AI se débarrasse des bruits parasitesen corrélant les comportements et en mettant en évidence les menaces réelles, afin que les défenseurs puissent agir immédiatement.
4. Réponse automatisée et confinement
Lorsque Ghost atteint la phase de mouvement latéral, Vectra AI a déjà escaladé la menace en vue d'une remédiation automatisée. Les hôtes compromis sont isolés avant que le chiffrement ne commence, ce qui permet d'arrêter l'exécution de Ghostavant que les dommages ne se généralisent.
5. La prévention au-delà des signatures
Comme Ghost modifie fréquemment les notes de rançon, les charges utiles et les indicateurs d'attaque, la sécurité basée sur les signatures ne parvient pas à suivre. L'approche deVectra AI, basée sur l'intelligence artificielle, détecte les comportements sous-jacents de l'attaquant, quelle que soit la variante de la charge utile.
La sécurité traditionnelle est trop lente - seule l'IA peut arrêter Ghost à temps
Les ransomwares Ghost exploitent les failles de la sécurité traditionnelle, se déplaçant trop rapidement pour que les pare-feux, EDR, IDS et solutions SIEM puissent réagir à temps. Pour se défendre contre ces attaques rapides de ransomware, les entreprises ont besoin d'une détection et d'une réponse basées sur le comportement et alimentées par l'IA. Vectra AI détecte et répond en temps réel, stoppant Ghost et d'autres cybercriminels en quelques minutes au lieu d'heures ou de jours.
Pour savoir comment Vectra AI peut protéger votre entreprise contre les ransomwares, découvrez notre plateforme ou demandez une démonstration dès aujourd'hui.