Среди жертв - объекты критической инфраструктуры, а также организации, относящиеся к сфере здравоохранения, образования, технологическому и производственному секторам, а также правительственные учреждения и малый и средний бизнес.
Первые атаки были зарегистрированы в начале 2021 г. Жертвами становились организации, чьи сетевые сервисы были доступны извне и содержали уязвимости. В рамках первоначального проникновения злоумышленники устанавливали также модифицированные версии утилиты Mimikatz и «маяки» CobaltStrike. Исполняемые файлы самого шифровальщика запускались через легитимный инструмент Windows CertUtil, что обеспечивало им невидимость от сканеров.
Операторы Ghost регулярно обновляли исполняемые файлы шифровальщика, меняли расширения для зашифрованных файлов, а также изменяли содержание требований выкупа и использовали множественные почтовые адреса для коммуникаций с жертвами. В результате одной и той же группировке присвоено множество разных названий. Помимо Ghost это Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. Основной исполняемый файл фигурирует под наименованиями Cring.exe, Ghost.exe, ElysiumO.exe и Locker.exe.
Очень старые дела
Что обращает на себя особенное внимание, так это список уязвимостей, которыми успешно пользовались злоумышленники, стоящие за Ghost: самая ранняя из них датирована 2009 г. - CVE-2009-3960. Это «баг», относящийся к некоторым старым продуктам Adobe (ColdFusion, в частности), причем не являющийся критическим. Тем не менее, он числится среди успешно эксплуатируемых.
Операторы Ghost также эксплуатировали еще одну уязвимость в ColdFusion, и тоже очень старую CVE-2010-2861. Помимо этого, они регулярно использовали три уязвимости в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207), и одну - в Fortinet (CVE-2018-13379).
Компания Fortinet в 2019-2021 гг. четырежды выпускала бюллетени с предупреждением об активной эксплуатации этой уязвимости, затрагивающей программные оболочки маршрутизаторов Fortinet SSL VPN. Что, очевидным образом, свидетельствовало о том, что множество этих устройств так и оставались необновленными и беззащитными.
Меры предохранения предполагаются стандартные: это регулярное создание резервных копий значимых данных, многофакторная авторизация для любых привилегированных аккаунтов в корпоративных системах, и устранение всех эксплуатируемых уязвимостей в корпоративных сетях.
«Необходимо также иметь в виду, что с 2021 г. прошло немало времени и злоумышленники вполне могли расширить список используемых уязвимостей», - говорит , эксперт по информационной безопасности компании SEQ. «Любые корпоративные сервисы и интерфейсы, доступные из интернета, в теории могут стать точкой входа для злоумышленников. Соответственно, их необходимо защищать отдельно или минимизировать к ним доступ. В целом же, соображения безопасности требуют постоянного отслеживания состояния компонентов сети и своевременной установки обновлений к ним».
Эксперт добавил, что в большинстве случаев атаки оказываются успешными именно потому, что информация о той или иной уязвимости уже распространилась, а обновления вовремя не установили.