Ghost
Ghost (également connu sous les noms de Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada et Rapture) est un groupe de ransomware originaire de Chine qui exploite des vulnérabilités logicielles obsolètes pour cibler des organisations du monde entier.
L'origine du ransomware Ghost
Ghost est un groupe de menace à motivation financière apparu au début de l'année 2021. Le groupe opérerait depuis la Chine et est connu pour ses attaques rapides et très opportunistes. Contrairement à certains acteurs du ransomware qui persistent sur le long terme, les opérateurs de Ghost infiltrent généralement un réseau, déploient leur ransomware et le quittent en quelques jours seulement, selon la CISA. En exploitant des vulnérabilités logicielles obsolètes, ils escaladent rapidement les privilèges, désactivent les défenses de sécurité et chiffrent les fichiers critiques, laissant aux victimes peu de temps pour réagir. Leur objectif est simple : maximiser les gains financiers le plus rapidement possible avant que les défenseurs ne puissent détecter et atténuer l'attaque.
Cibles
Les cibles de Ghost
Pays ciblés par Ghost
Ghost a compromis des organisations dans plus de 70 pays, avec des attaques confirmées en Chine et dans de nombreux autres pays.
Industries ciblées par Ghost
Les acteurs du ransomware Ghost ciblent un large éventail de secteurs, notamment les infrastructures critiques, l'éducation, les soins de santé, les réseaux gouvernementaux, les institutions religieuses, la technologie et l'industrie. Les petites et moyennes entreprises sont également souvent touchées.
Industries ciblées par Ghost
Les acteurs du ransomware Ghost ciblent un large éventail de secteurs, notamment les infrastructures critiques, l'éducation, les soins de santé, les réseaux gouvernementaux, les institutions religieuses, la technologie et l'industrie. Les petites et moyennes entreprises sont également souvent touchées.
Les victimes de Ghost
Bien que les noms des victimes ne soient pas toujours divulgués, les ransomwares Ghost ont touché des organisations de différents secteurs. Étant donné l'importance accordée à l'extorsion financière, les victimes sont souvent des institutions disposant de données précieuses et de moyens de défense limités en matière de cybersécurité.
Méthode d'attaque
Méthode d'attaque du Ghost
Des acteurs Ghost exploitent des vulnérabilités dans Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint et Microsoft Exchange (vulnérabilités ProxyShell ) pour obtenir un accès non autorisé.
Les attaquants utilisent des outils tels que SharpZeroLogon, SharpGPPPass, BadPotato et GodPotato pour élever les privilèges et se faire passer pour des utilisateurs du système de haut niveau.
Le groupe désactive Windows Defender et d'autres solutions antivirus, modifie les outils de sécurité et exécute des commandes pour ne pas être détecté.
Les membres de Ghost utilisent la fonction "hashdump" deCobalt Strikeet Mimikatz pour voler les identifiants de connexion.
Les attaquants procèdent à la découverte de comptes de domaine, de processus et à l'énumération de partages de réseau à l'aide d'outils tels que SharpShares et Ladon 911.
Les commandes PowerShell et Windows Management Instrumentation (WMI) sont utilisées pour se déplacer à travers les réseaux des victimes.
Le ransomware est exécuté à l'aide de PowerShell, du Windows Command Shell et de shells web téléchargés.
Bien que le vol de données ne soit pas l'objectif principal, certains fichiers sont volés via les serveurs deCobalt Strike Team et le stockage cloud de Mega.nz.
Le ransomware chiffre les fichiers à l'aide de Cring.exe, Ghost.exe, ElysiumO.exe et Locker.exe, rendant les données de la victime inaccessibles à moins qu'une rançon ne soit payée.
Accès Initial
Des acteurs Ghost exploitent des vulnérabilités dans Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint et Microsoft Exchange (vulnérabilités ProxyShell ) pour obtenir un accès non autorisé.
Élévation de privilèges
Les attaquants utilisent des outils tels que SharpZeroLogon, SharpGPPPass, BadPotato et GodPotato pour élever les privilèges et se faire passer pour des utilisateurs du système de haut niveau.
Défense Evasion
Le groupe désactive Windows Defender et d'autres solutions antivirus, modifie les outils de sécurité et exécute des commandes pour ne pas être détecté.
Accès aux identifiants
Les membres de Ghost utilisent la fonction "hashdump" deCobalt Strikeet Mimikatz pour voler les identifiants de connexion.
Découverte
Les attaquants procèdent à la découverte de comptes de domaine, de processus et à l'énumération de partages de réseau à l'aide d'outils tels que SharpShares et Ladon 911.
Mouvement latéral
Les commandes PowerShell et Windows Management Instrumentation (WMI) sont utilisées pour se déplacer à travers les réseaux des victimes.
Collection
Exécution
Le ransomware est exécuté à l'aide de PowerShell, du Windows Command Shell et de shells web téléchargés.
Exfiltration
Bien que le vol de données ne soit pas l'objectif principal, certains fichiers sont volés via les serveurs deCobalt Strike Team et le stockage cloud de Mega.nz.
Impact
Le ransomware chiffre les fichiers à l'aide de Cring.exe, Ghost.exe, ElysiumO.exe et Locker.exe, rendant les données de la victime inaccessibles à moins qu'une rançon ne soit payée.
MITRE ATT&CK Mapping
TTPs utilisées par Ghost
TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1057
Process Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1573
Encrypted Channel
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter Ghost avec Vectra AI
Foire aux questions
Comment le ransomware Ghost (Cring) accède-t-il à un réseau ?
Ghost exploite des vulnérabilités connues dans des logiciels obsolètes, tels que Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint et Microsoft Exchange (vulnérabilités ProxyShell).
Quels sont les secteurs les plus ciblés par le ransomware Ghost ?
Infrastructures critiques, éducation, soins de santé, réseaux gouvernementaux, institutions religieuses, technologie, fabrication et petites entreprises.
Le ransomware Ghost exfiltre-t-il les données avant de les chiffrer ?
Les acteurs Ghost exfiltrent parfois des données limitées, mais le vol de données à grande échelle n'est pas leur objectif premier.
Quelles sont les failles de sécurité couramment exploitées par Ghost?
Parmi les CVE les plus notables, on peut citer
- CVE-2018-13379 (Fortinet FortiOS)
- CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
- CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).
Quels sont les outils utilisés par le ransomware Ghost ?
Les acteurs Ghost utilisent Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato et des scripts basés sur PowerShell.
Comment les organisations peuvent-elles se défendre contre le ransomware Ghost ?
Les entreprises peuvent se défendre contre le ransomware Ghost en mettant en œuvre des solutions de détection et de réponse aux menaces qui surveillent les activités inhabituelles, détectent les tentatives d'exploitation, bloquent les outils malveillants tels que Cobalt Strike et permettent une réponse rapide aux incidents afin de contenir et d'atténuer les attaques avant que le chiffrement ne se produise.
Quelle est la vitesse d'exécution du ransomware Ghost ?
Dans de nombreux cas, les attaquants déploient le ransomware dans la journée qui suit l'obtention de l'accès initial.
Quelle est la demande de rançon typique ?
Les acteurs Ghost exigent des rançons allant de plusieurs dizaines à plusieurs centaines de milliers de dollars, payables en crypto-monnaie.
Comment le groupe Ghost ransomware communique-t-il avec les victimes ?
Ils utilisent des services de courrier électronique crypté (Tutanota, ProtonMail, Skiff, Mailfence et Onionmail) et, depuis peu, des identifiants TOX pour la messagerie sécurisée.
Les organisations doivent-elles payer la rançon ?
Les agences de cybersécurité découragent fortement les paiements de rançons, car ils ne garantissent pas la récupération des données et peuvent financer d'autres activités criminelles.