Призрачный взломщик: Ghost.exe парализовал бизнес в 70 странах

Группировка, использующая программу-вымогатель Ghost, взломала системы компаний и государственных учреждений в более чем 70 странах. Под удар попала критическая инфраструктура, здравоохранение, образовательные учреждения, технологические компании, производственные предприятия и малый бизнес. Об этом сообщили CISA, ФБР и MS-ISAC в совместном предупреждении.

Атаки Ghost начались в 2021 году. Хакеры эксплуатируют устаревшие версии программного обеспечения и прошивок, получая доступ к корпоративным сетям. Их жертвами стали организации в США, Европе, Азии и Китае.

Сама группировка использует разные названия: Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. В атаках применяются файлы «Cring.exe», «Ghost.exe», «ElysiumO.exe» и «Locker.exe». Преступники часто меняют код вредоносных программ, расширения зашифрованных файлов и тексты вымогательских записок, что усложняет их отслеживание.

Ghost активно использует общедоступные инструменты для атак на уязвимые серверы. Взломщики эксплуатируют известные уязвимости в продуктах Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) и Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Среди их целей оказались и системы, связанные с выборами в США.

CISA и ФБР рекомендуют компаниям защитить свои сети от атак Ghost. Ключевые меры включают регулярное резервное копирование, установку актуальных обновлений, изоляцию критически важных систем и обязательное использование многофакторной аутентификации.

Последнее предупреждение CISA, ФБР и MS-ISAC включает индикаторы компрометации, тактики атак и методы обнаружения, использованные в расследованиях вплоть до января 2025 года. Эксперты подчёркивают, что злоумышленники продолжают эксплуатировать устаревшие системы, что делает критически важным обновление программного обеспечения и контроль безопасности сети.