Aquest grup, originari de la Xina, ja s’ha cobrat víctimes a més de 70 països, i ha atacat infraestructures crítiques.

L’FBI i l’Agència de Seguretat d’Infraestructures i Ciberseguretat dels EUA han emès un avís conjunt per alertar que el grup de programari de segrest Ghost continua molt activa i continua cobrant-se víctimes. 

Els federals expliquen que aquesta amenaça ha infectat infraestructures i entitats crítiques i en tots els sectors, i han pogut observar com ha exigit rescats recentment, com al gener. 

L’esquiva banda ja hauria acumulat víctimes a més de 70 països en total, inclosa la Xina, la seva terra natal.

Ghost es va manifestar per primera vegada el 2021, i des de llavors ha rotat les càrregues executables de programari de segrest, ha canviat les extensions d’arxiu dels fitxers xifrats i ha modificat el text de les notes de rescat. A més, fa servir nombroses adreces de correu electrònic de rescat, «cosa que ha portat a una atribució variable d’aquest grup al llarg del temp». 

Aquests anys a aquest grup fantasmal li han atribuït diferents noms. A més de Ghost s’ha identificat com Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada i Rapture. 

Com opera Ghost

Tot i aquest ball de noms, el grup segueix les mateixes tàctiques: ataca sistemes que no tenen pedaços per explotar vulnerabilitats conegudes que li permeten infectar els seus objectius.

Després d’un atac inicial que aprofita falles conegudes, Ghost carrega una porta del darrere d’intèrpret d’ordres web al servidor compromès, cosa que permet a la banda fer servir el símbol del sistema de Windows i/o PowerShell per executar Cobalt Strike Beacon al sistema de Microsoft d’aquesta víctima. 

El seu moviment següent és fer servir la funcionalitat de Cobalt Strike per robar testimonis (tokens) de procés que pertanyen als usuaris del sistema, segons recull The Register. Si la banda obté aquests testimonis, utilitzarà els privilegis elevats que confereixen per moure’s lateralment a través de la xarxa, executar ordres de PowerShell en sistemes addicionals i infectar més dispositius amb Cobalt Strike.

L’FBI i companyia recomanen algunes tàctiques bàsiques de seguretat, com ara pedaços de vulnerabilitats conegudes i mantenir còpies de seguretat del sistema.