Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Cyberattacke-Bulletin: Verteidigung gegen Codefinger Ransomware in AWS S3 >

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
cybercriminels
>
Ransomware Gruppe

Ghost

Ghost (auch bekannt als Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture) ist eine aus China stammende ransomware , die veraltete Softwareschwachstellen ausnutzt, um Unternehmen weltweit anzugreifen.

Ghost TTPs aufspüren
Ist Ihr Unternehmen vor Ghost sicher?
Hintergrund
Ziele
TTPs
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing

Der Ursprung derransomware

Ghost ist eine finanziell motivierte Bedrohungsgruppe, die Anfang 2021 aufgetaucht ist. Es wird vermutet, dass die Gruppe von China aus operiert, und sie ist für ihre schnellen und äußerst opportunistischen Angriffe bekannt. Im Gegensatz zu anderen ransomware , die sich über einen längeren Zeitraum halten, infiltrieren die Betreiber von Ghost laut CISA in der Regel ein Netzwerk, installieren ihre ransomware und verlassen es innerhalb weniger Tage wieder. Indem sie veraltete Software-Schwachstellen ausnutzen, erweitern sie schnell ihre Privilegien, deaktivieren die Sicherheitsabwehr und verschlüsseln wichtige Dateien, so dass den Opfern nur wenig Zeit zum Reagieren bleibt. Ihr Ziel ist einfach: so schnell wie möglich den finanziellen Gewinn zu maximieren, bevor die Verteidiger den Angriff entdecken und entschärfen können.

Der Ursprung derransomware
Ziele

Ziele des Ghost

Zielländer von Ghost

Ghost hat Unternehmen in über 70 Ländern infiziert, wobei Angriffe in China und zahlreichen anderen Ländern bestätigt wurden.

Zielbranchen von Ghost

ransomware haben es auf ein breites Spektrum von Branchen abgesehen, darunter kritische Infrastrukturen, das Bildungs- und Gesundheitswesen, Regierungsnetzwerke, religiöse Einrichtungen, Technologie und Fertigung. Auch kleine und mittlere Unternehmen sind häufig betroffen.

Zielbranchen von Ghost

ransomware haben es auf ein breites Spektrum von Branchen abgesehen, darunter kritische Infrastrukturen, das Bildungs- und Gesundheitswesen, Regierungsnetzwerke, religiöse Einrichtungen, Technologie und Fertigung. Auch kleine und mittlere Unternehmen sind häufig betroffen.

Die Opfer des Ghost

Auch wenn die Namen der Opfer nicht immer bekannt gegeben werden, habenransomware Unternehmen aus verschiedenen Branchen betroffen. Da der Schwerpunkt auf finanzieller Erpressung liegt, gehören zu den Opfern oft Institutionen mit wertvollen Daten und begrenzten Cybersicherheitsmaßnahmen.

Angriffsmethode

Die Angriffsmethode des Ghost

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.

Ghost nutzen Schwachstellen in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint und Microsoft Exchange (ProxyShell-Schwachstellen) aus, um sich unbefugten Zugang zu verschaffen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.

Angreifer verwenden Tools wie SharpZeroLogon, SharpGPPPass, BadPotato und GodPotato, um ihre Berechtigungen zu erweitern und sich als hochrangige Systembenutzer auszugeben.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.

Die Gruppe deaktiviert Windows Defender und andere Antivirenlösungen, modifiziert Sicherheitstools und führt Befehle aus, um unerkannt zu bleiben.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.

Ghost nutzen die "Hashdump"-Funktion vonCobalt Strikeund Mimikatz, um Anmeldedaten zu stehlen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.

Die Angreifer führen die Erkennung von Domänenkonten, die Erkennung von Prozessen und die Aufzählung von Netzwerkfreigaben mit Tools wie SharpShares und Ladon 911 durch.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.

PowerShell-Befehle und Windows Management Instrumentation (WMI ) werden verwendet, um sich in Opfernetzwerken zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.

Die ransomware wird über PowerShell, Windows Command Shell und hochgeladene Web-Shellsausgeführt.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.

Obwohl der Datendiebstahl nicht das primäre Ziel ist, werden einige Dateien über Cobalt Strike Team Server und Mega.nz cloud gestohlen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.

Die ransomware verschlüsselt Dateien mit Cring.exe, Ghost.exe, ElysiumO.exe und Locker.exe und macht die Daten des Opfers unzugänglich, solange kein Lösegeld gezahlt wird.

Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang

Ghost nutzen Schwachstellen in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint und Microsoft Exchange (ProxyShell-Schwachstellen) aus, um sich unbefugten Zugang zu verschaffen.

Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation

Angreifer verwenden Tools wie SharpZeroLogon, SharpGPPPass, BadPotato und GodPotato, um ihre Berechtigungen zu erweitern und sich als hochrangige Systembenutzer auszugeben.

Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung

Die Gruppe deaktiviert Windows Defender und andere Antivirenlösungen, modifiziert Sicherheitstools und führt Befehle aus, um unerkannt zu bleiben.

Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen

Ghost nutzen die "Hashdump"-Funktion vonCobalt Strikeund Mimikatz, um Anmeldedaten zu stehlen.

Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung

Die Angreifer führen die Erkennung von Domänenkonten, die Erkennung von Prozessen und die Aufzählung von Netzwerkfreigaben mit Tools wie SharpShares und Ladon 911 durch.

Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung

PowerShell-Befehle und Windows Management Instrumentation (WMI ) werden verwendet, um sich in Opfernetzwerken zu bewegen.

Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung

Die ransomware wird über PowerShell, Windows Command Shell und hochgeladene Web-Shellsausgeführt.

Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration

Obwohl der Datendiebstahl nicht das primäre Ziel ist, werden einige Dateien über Cobalt Strike Team Server und Mega.nz cloud gestohlen.

Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen

Die ransomware verschlüsselt Dateien mit Cring.exe, Ghost.exe, ElysiumO.exe und Locker.exe und macht die Daten des Opfers unzugänglich, solange kein Lösegeld gezahlt wird.

MITRE ATT&CK Kartierung

Von Ghost verwendete TTPs

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1057
Process Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1573
Encrypted Channel
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Plattform-Detektionen

Wie man mit Vectra AI Ghost erkennt

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Wie verschafft sich die ransomware Ghost (Cring) Zugang zu einem Netzwerk?

Ghost nutzt bekannte Schwachstellen in veralteter Software aus, z. B. in Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint und Microsoft Exchange (ProxyShell-Schwachstellen).

Welche Branchen sind am stärksten vonransomware betroffen?

Kritische Infrastrukturen, Bildung, Gesundheitswesen, Regierungsnetzwerke, religiöse Einrichtungen, Technologie, Fertigung und kleine Unternehmen.

Exfiltriertransomware Daten vor der Verschlüsselung?

Ghost exfiltrieren gelegentlich begrenzte Daten, aber groß angelegter Datendiebstahl ist nicht ihr Hauptziel.

Welche Sicherheitsschwachstellen werden von Ghost häufig ausgenutzt?

Einige bemerkenswerte CVEs sind:

  • CVE-2018-13379 (Fortinet FortiOS)
  • CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
  • CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).

Welche Tools verwendet dieransomware ?

Ghost verwenden Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato und PowerShell-basierte Skripte.

Wie können sich Unternehmen gegenransomware schützen?

Unternehmen können sich gegenransomware schützen, indem sie Lösungen zur Erkennung von und Reaktion auf Bedrohungen implementieren, die ungewöhnliche Aktivitäten überwachen, Ausbeutungsversuche erkennen, bösartige Tools wie Cobalt Strike blockieren und eine schnelle Reaktion auf Vorfälle ermöglichen, um Angriffe einzudämmen und zu entschärfen, bevor es zu einer Verschlüsselung kommt.

Wie schnell arbeitet dieransomware ?

In vielen Fällen setzen die Angreifer ransomware nocham selben Tag ein, nachdem sie sich Zugang verschafft haben.

Wie hoch ist die typische Lösegeldforderung?

Ghost verlangen Lösegeld in Höhe von zehn- bis hunderttausenden von Dollar, zahlbar in Kryptowährung.

Wie kommuniziert dieransomware mit ihren Opfern?

Sie nutzen verschlüsselte E-Mail-Dienste (Tutanota, ProtonMail, Skiff, Mailfence und Onionmail) und seit kurzem auch TOX-IDs für sichere Nachrichtenübermittlung.

Sollten Organisationen das Lösegeld bezahlen?

Cybersicherheitsbehörden raten dringend von Lösegeldzahlungen ab, da sie keine Garantie für die Wiederherstellung von Daten bieten und weitere kriminelle Aktivitäten finanzieren können.

Ist Ihr Unternehmen vor Ghost sicher?

Bewerten Sie Ihr Angriffsrisiko