Το FBI προειδοποιεί για μια νέα ομάδα χάκερ ransomware που ονομάζεται Ghost

Tο FBI δημοσίευσε μια συμβουλή ασφαλείας από την Υπηρεσία Κυβερνοασφάλειας και Υποδομών που ανέφερε ότι η ομάδα άρχισε αδιάκριτα να επιτίθεται σε οργανισμούς σε περισσότερες από 70 χώρες από το 2021. Η προειδοποίηση από το FBI και την CISA λέει ότι η Ghost είναι πλέον μία από τις κορυφαίες ομάδες ransomware, στοχεύοντας οργανισμούς σε όλο τον κόσμο μόνο τον Ιανουάριο.

«Χρήστες Ghost, που βρίσκονται στην Κίνα, διεξάγουν αυτές τις εκτεταμένες επιθέσεις για οικονομικό όφελος», αναφέρει η έκθεση. «Τα θύματα που επηρεάζονται περιλαμβάνουν κρίσιμες υποδομές, σχολεία και πανεπιστήμια, υγειονομική περίθαλψη, κυβερνητικά δίκτυα, θρησκευτικά ιδρύματα, εταιρείες τεχνολογίας και κατασκευής και πολλές μικρομεσαίες επιχειρήσεις».

Το ransomware είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει σε εγκληματίες να κρυπτογραφούν τα δεδομένα ενός θύματος μέχρι να πληρωθούν λύτρα. Οι επιθέσεις ransomware έχουν γίνει πιο συνηθισμένες τα τελευταία χρόνια, μερικές φορές στοχεύοντας μεγάλες εταιρείες ή κρατικές υποδομές.

Μια επίθεση ransomware τον Φεβρουάριο του 2024 εναντίον της Chain Healthcare, του βραχίονα πληρωμών του γίγαντα υγειονομικής περίθαλψης UnitedHealth Group, ακρωτηρίασε για λίγο τη βιομηχανία φαρμακείων αφού προκάλεσε μεγάλη καθυστέρηση στην πλήρωση των συνδρομών πελατών.

Πώς λειτουργούν τα ransomware, όπως το Ghost

Οι περισσότεροι χάκερ ransomware χρησιμοποιούν μεθόδους phishing, στέλνοντας ψεύτικα μηνύματα στα θύματα με την ελπίδα ότι θα κάνουν κλικ σε έναν σύνδεσμο και θα εγκαταστήσουν κακόβουλο λογισμικό στις συσκευές τους.

Οι χάκερ της ομάδας Ghost, ωστόσο, χρησιμοποιούν δημόσια διαθέσιμο κώδικα για να εκμεταλλευτούν κοινές ευπάθειες στο λογισμικό των οργανισμών που δεν έχουν αφαιρεθεί από τελευταίες ενημερώσεις κώδικα, λέει το FBI.

«Το FBI παρατήρησε κακόβουλους χρήστες Ghost να αποκτούν αρχική πρόσβαση σε δίκτυα εκμεταλλευόμενοι εφαρμογές που αντιμετωπίζουν το κοινό που σχετίζονται με πολλαπλά κοινά τρωτά σημεία και εκθέσεις», αναφέρει η προειδοποίηση.

Το FBI ανέφερε στην προειδοποίηση ότι οι επιτιθέμενοι με Ghost συνήθως ισχυρίζονται ότι θα πουλήσουν τα κλεμμένα δεδομένα του θύματος εάν δεν πληρώσουν λύτρα. Ωστόσο, η υπηρεσία είπε ότι «δεν αποσπούν συχνά σημαντικό όγκο πληροφοριών ή αρχείων, όπως πνευματική ιδιοκτησία ή προσωπικά αναγνωρίσιμες πληροφορίες που θα προκαλούσαν σημαντική ζημιά στα θύματα εάν διαρρεύσουν».

Το FBI συνιστά να συμβουλευτείτε τον οδηγό του StopRansomware για ολοκληρωμένες πληροφορίες σχετικά με τον τρόπο με τον οποίο οι εταιρείες μπορούν να προστατεύονται από επιθέσεις ransomware.

Μερικές συμβουλές για την καταπολέμηση των κοινών τακτικών ransomware είναι η διατήρηση τακτικών αντιγράφων ασφαλείας του συστήματος ευαίσθητων πληροφοριών, η επιδιόρθωση γνωστών τρωτών σημείων του συστήματος με ενημερώσεις ασφαλείας και η χρήση πολυπαραγοντικού ελέγχου ταυτότητας ανθεκτικό στο phishing για εταιρικούς λογαριασμούς email.

Το FBI συνιστά να αναφέρετε τυχόν επιθέσεις ransomware στην υπηρεσία. Στη συμβουλή ασφαλείας, το FBI είπε ότι ενδιαφέρεται ιδιαίτερα για «οποιεσδήποτε πληροφορίες μπορούν να κοινοποιηθούν, συμπεριλαμβανομένων αρχείων καταγραφής που δείχνουν επικοινωνία προς και από ξένες διευθύνσεις IP, δείγμα σημείωμα λύτρων, επικοινωνίες με φορείς απειλών, πληροφορίες πορτοφολιού Bitcoin ή/και αρχεία αποκρυπτογράφησης».