Ransomware Ghost/Cring activo en América Latina

El grupo de ransomware Ghost (aka Cring), ha acumulado víctimas en más de 70 países desde 2021, al atacar sistemas vulnerables conectados a Internet, a menudo pasando rápidamente del acceso inicial al ataque en un solo día.

CISA emitió un aviso con datos sobre cómo opera el prolífico grupo de ransomware, como advertencia a las organizaciones con sistemas que ejecutan versiones obsoletas de software y firmware con vulnerabilidades conocidas, que el grupo ha estado utilizando para montar ataques exitosos. El aviso es parte de la campaña #StopRansomware de la agencia.

El grupo, también conocido como Cring, se centra en servicios conectados a Internet con errores sin parchear que los usuarios podrían haber mitigado hace años. Los investigadores de ciberseguridad comenzaron a advertir sobre el grupo en 2021. En un ataque investigado por Sophos, el actor de amenazas aprovechó una vulnerabilidad antigua en Internet en una instalación de Adobe ColdFusion 9 de hace 11 años para tomar el control del servidor ColdFusion de forma remota y luego ejecutar el ransomware como Cring en el servidor y contra otras máquinas en la red del objetivo.

Los nombres vinculados a este grupo incluyen Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture. Los ataques anteriores de Cring han aprovechado vulnerabilidades no seguras del protocolo de escritorio remoto (RDP) o de la red privada virtual (VPN) para obtener acceso inicial.

Inmediatamente después de que Amigo_A y el equipo CSIRT de Swisscom detectaran por primera vez el ransomware Ghost a principios de 2021, sus operadores lanzaron muestras personalizadas de Mimikatz, seguidas de muestras de CobaltStrike, e implementaron cargas útiles de ransomware utilizando el administrador de certificados legítimo de Windows CertUtil para eludir el software de seguridad.

Estos hallazgos demuestran la rapidez con la que un grupo de ransomware puede entrar y salir de la red de una organización y causar daños para obtener ganancias económicas en un período de tiempo relativamente corto. De hecho, la CISA descubrió que la persistencia no es una preocupación para Ghost porque «sus actores normalmente solo pasan unos días en las redes de las víctimas. En múltiples casos, se ha observado que pasan del ataque inicial a la implementación del ransomware en el mismo día», según el aviso de la CISA.

Esto es atípico en los grupos de ransomware tradicionales, que «pueden pasar días, semanas o incluso meses desde el acceso inicial obtenido hasta la implementación del ransomware», señala Roger Grimes, de la empresa de seguridad KnowBe4.

El aviso de CISA también destacó el impacto del ransomware Ghost en todo el mundo y algunos de los entresijos de la estrategia de ataque del elusivo grupo. Hasta ahora, estos ataques han alcanzado a numerosas organizaciones en una amplia gama de industrias, incluidas infraestructuras críticas, escuelas y universidades, atención médica, redes gubernamentales, instituciones religiosas, empresas de tecnología y fabricación, y varias pequeñas y medianas empresas.

En el camino, el grupo se ha centrado en vulnerabilidades en sistemas sin parches. El grupo aprovecha código de acceso público para explotar fallas de seguridad en servidores vulnerables. Su objetivo son vulnerabilidades que no se han corregido en Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) y Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Ghost también ha demostrado una alta capacidad de adaptación, al modificar los ejecutables del ransomware, cambiar las extensiones de los archivos cifrados, modificar el texto de la nota de rescate y usar numerosas direcciones de correo electrónico de rescate. Esto «ha llevado a una atribución variable de este grupo a lo largo del tiempo, y en última instancia, es el culpable de los ataques atribuidos a los grupos Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture».

Mapeo del flujo de ciberataques Ghost

Un flujo de ataque típico incluye al grupo que apunta a una de estas fallas para obtener acceso inicial y luego se mueve rápidamente para ejecutar Cobalt Strike (una herramienta legítima de simulación de adversarios que suelen utilizar los actores de amenazas) como base para el ataque y las operaciones de comando y control (C2).

Una vez que se implementa el ransomware, los actores de Ghost suelen informar a las organizaciones en su nota de rescate que los datos exfiltrados se venderán si no se paga un rescate. Sin embargo, curiosamente, la CISA descubrió que «los actores no suelen exfiltrar una cantidad significativa de información o archivos, como propiedad intelectual o información de identificación personal (PII), que causaría un daño significativo a las víctimas si se filtraran». Esto sugiere que los actores están utilizando una amenaza vacía en lugar de una verdadera capacidad de filtrar archivos valiosos para lograr que las víctimas paguen el rescate, señala CISA.

En términos de cifrado, el grupo utiliza una variedad de variantes de Ghost, incluidas Cring.exe, Ghost.exe, Elysium.exe y Locker.exe, para cifrar directorios específicos o datos de todo el sistema. El grupo suele exigir entre decenas y cientos de miles de dólares en criptomonedas a cambio de su software de descifrado.

Además, el impacto de la actividad del ransomware Ghost varía ampliamente de una víctima a otra, y el grupo es flexible en sus objetivos, avanzando rápidamente «cuando se enfrenta a sistemas reforzados, como aquellos en los que la segmentación adecuada de la red impide el movimiento lateral hacia otros dispositivos».

Dada la rápida capacidad de Ghost para convertir un sistema sin parches en un ataque de ransomware exitoso, el aviso de CISA recuerda a las organizaciones que apliquen parches a los sistemas con vulnerabilidades conocidas de forma temprana y frecuente.

El software y el firmware sin parches (y los días cero) están involucrados en al menos un tercio de los ataques exitosos. Todas las organizaciones tienen un proceso de aplicación de parches, pero la mayoría no lo hace a la perfección, y si un tercio de todos los ataques exitosos implicaron la búsqueda y explotación de software y firmware vulnerables, realmente debería ser un enfoque principal para todas las organizaciones.

CISA también incluyó en su aviso una lista completa de indicadores de compromiso (IoC) asociados con ataques de ransomware Ghost, incluidas herramientas, ejecutables y direcciones de correo electrónico, e hizo una serie de recomendaciones adicionales que las organizaciones pueden usar para mitigar los ataques.

Fuente y redacción: segu-info.com.ar

Mapeo del flujo de ciberataques Ghost

Chats internos del ransomware Conti se filtran en línea después de declarar su apoyo a la invasión Rusa

Ransomware Akira activo en América Latina

Nuevo grupo de piratas informáticos dirigidos a empresas con ataques cibernéticos motivados financieramente.