Ghost ransomware (auch bekannt als Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture) funktioniert anders als viele andere ransomware - sie hält sich nicht in Netzwerken auf und verlässt sich nicht auf ausgeklügelte phishing . Stattdessen agiert er schnell, dringt innerhalb weniger Tage ein und startet seinen ransomware oft noch am selben Tag, an dem er Zugang erhält.
Anstatt Social Engineering einzusetzen, nutzt Ghost in erster Linie bekannte Schwachstellen in veralteter Software aus, was Unternehmen mit ungepatchten Systemen besonders anfällig macht.
Im Gegensatz zu Gruppen, die Daten stehlen und verkaufen, besteht das Hauptziel von Ghostdarin, Dateien zu verschlüsseln und ein Lösegeld zu fordern - es sperrt Dateien, fordert die Zahlung und zieht weiter, so dass den Opfern kaum Zeit bleibt, zu reagieren.
So funktioniertransomware
Erster Zugang: Ausnutzung von Schwachstellen in der Öffentlichkeit
Ghost verlassen sich nicht auf phishing oder Social-Engineering-Taktiken als primären Einstiegspunkt. Stattdessen nutzen sie offensiv bekannte Schwachstellen in öffentlich zugänglichen Systemen aus, darunter:
- Fortinet FortiOS(CVE-2018-13379)
- Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
- Microsoft SharePoint(CVE-2019-0604)
- Microsoft Exchange ProxyShell-Schwachstellen(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
Indem sie ungepatchte Software ausnutzen, können sich Ghost einen ersten Zugang zu einem Netzwerk verschaffen, ohne dass eine Benutzerinteraktion erforderlich ist, was ihre Angriffe erschwert.
Schnelle Ausführung und Verschlüsselung
Sobald Ghost ransomware in ein Netzwerk eingedrungen ist,bewegt sie sich schnell:
- Privilegienerweiterung: Angreifer verwenden Tools wie SharpZeroLogon und BadPotato , um Zugriff auf SYSTEM-Ebene zu erhalten.
- Deaktivierung von Sicherheitstools: Ghost deaktivieren Windows Defender und andere Antivirenlösungen, um eine Entdeckung zu vermeiden.
- Seitliche Bewegung: Sie verbreiten sich über das Netzwerk mithilfe von PowerShell-Befehlen und Windows Management Instrumentation (WMI).
- Dateiverschlüsselung: Die Nutzlast ransomware Ghost Ghost.exe, Ghost.exe oder ElysiumO.exe - verschlüsselt Dateien und macht sie damit unzugänglich.
- Lösegeldforderung: Es wird eine Notiz hinterlassen, in der zehn- bis hunderttausende von Dollar in Kryptowährung für Entschlüsselungsschlüssel gefordert werden.
Begrenzte Persistenz und Datenexfiltration
Im Gegensatz zu anderen ransomware , die eine langfristige Persistenz aufbauen, schließenGhost ihren Angriff innerhalb weniger Tage ab. Die CISA hat beobachtet, dass Persistenz für diese Gruppe keine Priorität ist. Auch wenn es zu einer gewissen Datenexfiltration kommt - oft über Cobalt Strike Team Server oder Mega.nz cloud Ghost konzentrieren sich Ghost-Akteure in erster Linie darauf, Daten zu verschlüsseln, anstatt sie zu stehlen.
Warum herkömmliche Sicherheitstoolsransomware nicht stoppen können
ransomware ist keine typische Cyber-Bedrohung. Sie umgeht herkömmliche Sicherheitsmaßnahmen wie Firewalls, Endpoint Detection and Response (EDR), Intrusion Detection Systems (IDS) und sogar Security Information and Event Management (SIEM) Lösungen. Diese Tools stützen sich in hohem Maße auf bekannte Angriffssignaturen, Verhaltens-Baselines und regelbasierte Erkennung. Ghost arbeitet jedoch zu schnell, nutzt öffentliche Schwachstellen aus und umgeht die Erkennung lange genug, um seinen Angriff abzuschließen.
1. Ghost nutzt öffentlich zugängliche Sicherheitslücken aus
Ghost nutzt weder phishing noch malware E-Mail-Anhänge. Stattdessen nutzt er direkt ungepatchte Software-Schwachstellen in Fortinet, Microsoft Exchange und Adobe ColdFusion aus. Herkömmliche Sicherheitstools können legitime, aber anfällige Anwendungen, die ausgenutzt werden, oft nicht erkennen.
2. Der Ghost bewegt sich zu schnell für eine verhaltensbasierte Erkennung
Viele Sicherheitslösungen verlassen sich auf die Erkennung von Anomalien und die Überwachung des endpoint . Ghost führen ihre Angriffe jedoch innerhalb von Stunden oder Tagen aus und verschlüsseln Daten oft noch am selben Tag, an dem sie sich Zugang verschaffen. Wenn SIEM-Systeme die Protokolle sammeln und analysieren, ist der Schaden bereits angerichtet.
3. Ghost lebt vom Land mit einheimischen Windows-Werkzeugen
ransomware fügt sich nahtlos in legitime Systemaktivitäten ein, indem sie native Windows-Komponenten wie PowerShell, Windows Command Shell und Windows Management Instrumentation (WMI) missbraucht. Diese integrierten Tools, die üblicherweise für die IT-Verwaltung verwendet werden, machen es für Sicherheitsprodukte schwierig, bösartige Aktionen von legitimen Vorgängen zu unterscheiden. Indem er sich unbemerkt von der Außenwelt bewegt (LotL), entgehtGhost der Entdeckung, während er sich seitlich im Netzwerk bewegt, Befehle ausführt und unbemerkt ransomware verteilt.
4. Ghost deaktiviert die Sicherheitsmaßnahmen
Ghost deaktiviert aktiv Windows Defender, Antiviren-Software und andere endpoint und neutralisiert so viele herkömmliche Abwehrmechanismen, bevor die ransomware gestartet wird.
5. Ghost schlägt schnell zu, ohne dass man hartnäckig bleiben muss
Da Ghost keine langfristige Persistenz aufbauen, können herkömmliche Sicherheitstools, die nach anhaltenden Bedrohungen suchen, diese möglicherweise nicht erkennen, bevor die Verschlüsselung erfolgt.
Wie Vectra AI Ghost in Echtzeit erkennt und stoppt
ransomware bewegt sich zu schnell für herkömmliche Sicherheitslösungen und wird oft innerhalb von Stunden nach dem ersten Zugriff ausgeführt. SIEM, EDR und andere regelbasierte Tools brauchen zu lange, um Protokolle zu analysieren und Muster zu erkennen, sodass die Verteidiger dem Angriff mehrere Schritte hinterherhinken. Vectra AI hingegen kann Bedrohungen innerhalb von Minuten erkennen und priorisieren - weitaus schneller als herkömmliche Lösungen, bei denen es Stunden oder sogar Tage dauern kann, bis sie reagieren. Durch den Einsatz von KI-gesteuerter Bedrohungserkennung und -reaktion verschafft Vectra AI Sicherheitsteams einen entscheidenden Vorteil, um Ghost zu stoppen, bevor die Verschlüsselung beginnt.
Warum Vectra AI die traditionelle Sicherheit übertrifft
1. KI-gestützte Attack Signal Intelligence
Ghost lebt im Verborgenen und missbraucht native Windows-Tools wie PowerShell und WMI, um sich in die normalen Verwaltungsaktivitäten einzuschleichen. Vectra AI erkennt diese subtilen Verhaltensweisen von Angreifern in Echtzeit, lange bevor die Verschlüsselung beginnt - etwas, dasherkömmliche signaturbasierte Tools nicht leisten können.
2. Frühzeitige Erkennung von versteckten seitlichen Bewegungen
Ghost bewegt sich schnell über SMB, WMI und RDP und breitet sich im Netzwerk aus, bevor die Verteidiger überhaupt merken, dass ein Angriff im Gange ist. Vectra AI identifiziert schleichende Seitwärtsbewegungenselbst wenn sie als routinemäßige Verwaltungsaufgaben getarnt sind.
3. Priorisierung der Bedrohungen in Echtzeit
Herkömmliche Lösungen generieren zu viele Warnungen zu spät, so dass es für Sicherheitsteams schwierig ist, rechtzeitig zu reagieren. Vectra AI durchbricht das Rauschenkorreliert Verhaltensweisen und hebt tatsächliche Bedrohungen hervor, sodass Verteidiger sofort handeln können.
4. Automatisierte Reaktion und Eindämmung
Wenn Ghost die Phase der seitlichen Bewegung erreicht, hatVectra AI die Bedrohung bereits für die automatische Beseitigung eskaliert. Kompromittierte Hosts werden isoliert, bevor die Verschlüsselung beginnt, und die Ausführung von Ghostwird gestoppt, bevor ein großer Schaden entsteht.
5. Prävention über Unterschriften hinaus
Da Ghost die Erpresserbriefe, Nutzdaten und Angriffsindikatoren häufig ändert, kann die signaturbasierte Sicherheit nicht Schritt halten. Der KI-gesteuerte Ansatz vonVectra AIerkennt das zugrundeliegende Verhalten der Angreifer, unabhängig von der Variante der Nutzdaten.
Traditionelle Sicherheit ist zu langsam - nur KI kann Ghost rechtzeitig stoppen
ransomware nutzt Lücken in der herkömmlichen Sicherheit aus und bewegt sich zu schnell, als dass Firewalls, EDR-, IDS- und SIEM-Lösungen rechtzeitig reagieren könnten. Um sich gegen diese schnellen ransomware zu verteidigen, benötigen Unternehmen eine KI-gestützte, verhaltensbasierte Erkennung und Reaktion. Vectra AI erkennt und reagiert in Echtzeit und stoppt Ghost und andere Bedrohungsakteure innerhalb von Minuten statt Stunden oder Tagen.
Um zu erfahren, wie Vectra AI AI Ihr Unternehmen vor ransomware schützen kann, erfahren Sie mehr über unsere Plattform oder fordern Sie noch heute eine Demo an.