美國聯邦調查局(FBI)和網路安全暨基礎設施安全局(CISA)發布聯合警報,指出一個被稱為Ghost(又名Cring)的勒索軟體組織正在積極利用軟體和韌體漏洞進行攻擊。Ghost組織以金錢利益為目標,安全研究人員指出,該組織經常輪換其惡意軟體執行檔、更改加密檔案的副檔名、修改勒索信內容,並使用多個電子郵件地址進行勒索溝通。
相關攻擊行動最早可追溯至2021年初。受害者包含關鍵基礎設施、學校和大學、醫療機構、政府網路、宗教機構、科技和製造業公司,以及眾多中小型企業。一旦成功利用漏洞,駭客就會上傳Web Shell,然後部署Cobalt Strike Beacon,竊取處理程序使用的Token,藉此冒充SYSTEM使用者提升權限。
值得注意的是,該組織行動快速,通常只在受害者網路中停留數天。在多起案例中,他們能夠在同一天內完成從初始入侵到部署勒索軟體的整個攻擊流程。專家建議組織應當定期進行系統備份並確保備份儲存在離線位置,及時修補作業系統、軟體和韌體漏洞,特別關注Ghost勒索軟體組織常見的目標漏洞。此外,實施網路分段以限制受感染設備的橫向移動,並為所有特權帳戶和電子郵件服務帳戶強制執行防釣魚的多因素認證(MFA)同樣重要。
與此同時,新興的BlackLock勒索軟體也正迅速崛起。根據最新研究報告,BlackLock自去年三月出現以來,在去年第四季度的活動增長了1,425%,成為第七大最活躍的勒索軟體組織。Reliaquest研究人員表示,BlackLock採用了雙重勒索策略,其專有惡意軟體可以攻擊Windows、VMware ESXi和Linux系統。該組織通過俄羅斯網路犯罪論壇RAMP招募成員,並建立了自己的洩露網站以加快勒索付款進程,這使得受害組織難以進行完整的事件調查和評估。
參考資料:
https://www.ithome.com.tw/news/167498
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11652