CISAとFBIによると、Ghostランサムウェアを展開する攻撃者は、重要なインフラ組織を含む、70カ国以上のさまざまな業種の被害者に侵入しているという。
その他にも、ヘルスケア、政府、教育、テクノロジー、製造業、多数の中小企業などが影響を受けている。
「CISA、FBI、およびMulti-State Information Sharing and Analysis Center (MS-ISAC)は、水曜日に発表した共同勧告の中で、「2021年初頭から、ゴーストアクターは、インターネット接続サービスが古いバージョンのソフトウェアやファームウェアを使用している被害者を攻撃し始めた。
“このように脆弱性を含むネットワークを無差別に標的にすることで、中国の組織を含む70カ国以上の組織が危険にさらされている”
Ghostランサムウェアの運営者は、頻繁にマルウェアの実行ファイルをローテーションし、暗号化されたファイルの拡張子を変更し、身代金のメモの内容を変更し、身代金の通信に複数の電子メールアドレスを利用するため、このグループの帰属が時間の経過とともに変動することが多い。
このグループに関連する名前には、Ghost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureなどがあり、攻撃に使用されるランサムウェアのサンプルには、Cring.exe、Ghost.exe、ElysiumO.exe、Locker.exeなどがあります。
この金銭的動機に基づくランサムウェアグループは、一般にアクセス可能なコードを利用して、脆弱なサーバーのセキュリティ欠陥を悪用する。彼らは、Fortinet(CVE-2018-13379)、ColdFusion(CVE-2010-2861、CVE-2009-3960)、Exchange(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)にパッチが適用されていない脆弱性をターゲットにしています。
Ghostランサムウェアの攻撃を防御するために、ネットワーク防御者は以下の対策を講じることが推奨されます:
- ランサムウェアによって暗号化されないシステムのバックアップを定期的かつオフサイトで取る、
- オペレーティング・システム、ソフトウェア、ファームウェアの脆弱性をできるだけ早くパッチする、
- Ghostランサムウェアが標的とするセキュリティ上の欠陥(すなわち、CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)に注目する、
- 感染したデバイスからの横の動きを制限するためにネットワークをセグメント化する、
- すべての特権アカウントと電子メール・サービス・アカウントに対して、フィッシングに耐性のある多要素認証(MFA)を導入する。
Amigo_AとSwisscomのCSIRTチームが 2021年初頭にGhostランサムウェアを最初に発見した直後から、彼らのオペレーターはカスタムMimikatzサンプルを投下し、続いてCobaltStrikeビーコンを投下し、セキュリティソフトウェアをバイパスするために正規のWindows CertUtil証明書マネージャを使用してランサムウェアのペイロードを展開していました。
Ghostランサムウェア攻撃では、初期アクセスのために悪用されただけでなく、脆弱なフォーティネットSSL VPNアプライアンスをスキャンした国家の支援を受けたハッキンググループも、CVE-2018-13379脆弱性を標的にしていました。
攻撃者はまた、同じセキュリティ脆弱性を悪用して、インターネット経由でアクセス可能な米国の選挙支援システムに侵入しました。
フォーティネットは顧客に対し、2019年8月、2020年7月、2020年11月、そして2021年4月と複数回にわたり、SSL VPNアプライアンスにCVE-2018-13379に対するパッチを適用するよう警告した。
CISA、FBI、MS-ISACが本日発表した共同勧告には、2025年1月にもFBIの調査で確認された過去のゴースト・ランサムウェアの活動に関連する侵害の指標(IOC)、戦術、技術、手順(TTP)、検出方法も含まれています。
Comments