Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten der Ransomware-Bande Ghost veröffentlicht. Darin bündeln sie Erkenntnisse aus Untersuchungen von Cybervorfällen.
Anfang 2021 begannen die Ghost-Akteure, Opfer anzugreifen, deren Internetdienste mit veralteten Software- und Firmware-Versionen ausgestattet waren.
Diese wahllosen Angriffe auf Netzwerke mit Schwachstellen haben zur Kompromittierung von Organisationen in mehr als 70 Ländern geführt. Darunterbefinden sich auch Unternehmen in China. Die ebenfalls in China ansässigen Ghost-Akteure führen diese weit verbreiteten Angriffe aus finanziellen Gründen durch. Betroffen sind kritische Infrastrukturen, Schulen und Universitäten, das Gesundheitswesen, Regierungsnetzwerke, religiöse Einrichtungen, Technologie- und Produktionsunternehmen sowie zahlreiche kleine und mittlere Unternehmen.
Vorgehensweise von Ghost
Die Ghost-Bandenmitglieder sind äußerst agil. Sie wechseln ständig die ausführbaren Payloads, verändern Datei-Suffixe für verschlüsselte Dateien, modifizieren immer wieder die Erpresserbotschaften und nutzen diverse Erpresser-E-Mail-Adressen. Einmal in die verwundbaren Systeme eingedrungen, platziert Ghost Webshells und verankert Cobalt-Strike-Beacons. Einen großen Wert auf Persistenz legt Ghost anscheinend nicht. Sie verbringen nur wenige Tage in den Netzwerken der Opfer. Sporadisch haben sie jedoch neue lokale und Domänen-Konten angelegt und Passwörter bestehender Zugänge verändert. Das Cobalt-Strike-Tool dient mitunter auch zur Ausweitung ihrer Rechte.
Das FBI, CISA und MS-ISAC empfehlen Unternehmen, den StopRansomware-Leitfaden zu Rate zu ziehen und die dort aufgeführten Maßnahmen zur Verbesserung der Cybersicherheit auf der Grundlage der Ghost-Ransomware-Aktivitäten umzusetzen.
Über CISA
Als nationaler Koordinator für die Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen arbeitet die CISA mit Partnern auf allen Ebenen zusammen, um Risiken für die Cyber- und physischen Infrastrukturen zu erkennen und zu bewältigen, auf die sich die Amerikaner jede Stunde am Tag verlassen. Die CISA arbeitet mit Partnern zusammen, um die heutigen Bedrohungen abzuwehren und gemeinsam eine sicherere und widerstandsfähigere Infrastruktur für die Zukunft aufzubauen.