Мотивацията на операторите на рансъмуер обикновено е чисто финансова
(снимка: CC0 Public Domain)
Операторите на рансъмуера Ghost, който порази организации по целия свят, използват цял арсенал от стари уязвимости, за да разпространят зловредния софтуер, установи проучване на службите за сигурност.
ФБР и Агенцията за киберсигурност на инфраструктурата на САЩ (CISA) публикуваха съвместен бюлетин, в който се посочва, че от 2021 г. рансъмуерът Ghost е участвал в кибератаки срещу организации в 70 страни по света, тоест в приблизително половината държави на планетата.
Жертвите включват критични инфраструктурни съоръжения, както и организации в секторите на здравеопазването, образованието, технологиите и производството, държавни агенции, малки и средни предприятия.
Мотивацията на операторите на рансъмуера е чисто финансова, което обяснява техния безразборен избор на цели. Първите атаки са регистрирани в началото на 2021 г., а жертвите са организации, чиито мрежови услуги бяха достъпни отвън и съдържаха уязвимости.
Като част от първоначалното проникване, нападателите инсталират модифицирани версии на помощната програма Mimikatz и „маяците” CobaltStrike. Изпълнимите файлове на самия шифратор са стартирани чрез легитимния Windows инструмент CertUtil, което гарантира тяхната невидимост от скенерите.
Операторите на Ghost редовно актуализират изпълнимите файлове, променят разширенията на криптирани файлове и съдържанието на исканията за откуп, като освен това използват множество имейл адреси за комуникация с жертвите.
В резултат на всичко това, на една и съща група зловреден софтуер са дадени много различни имена – освен Ghost, това са Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture. Основният изпълним файл се появява под имената Cring.exe, Ghost.exe, ElysiumO.exe и Locker.exe.
Забележително е, че в списъка с уязвимости, които операторите на Ghost използват успешно, най-ранната датира от 2009 г. – CVE-2009-3960. Това е „бъг”, който засяга някои по-стари продукти на Adobe (по-специално ColdFusion) и не е критичен. Въпреки това се води сред успешно експлоатираните от Ghost.
Операторите използват и друга уязвимост в ColdFusion, която също е много стара – CVE-2010-2861. В допълнение, те редовно експлоатират три уязвимости в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207) и една във Fortinet (CVE-2018-13379).
В периода 2019-2021 г. Fortinet издаде четири предупреждения за активно използване на тази уязвимост, която засяга софтуерните обвивки на Fortinet SSL VPN рутери. Което очевидно показва, че много от тези устройства са останали без корекция и незащитени.
Препоръчваните мерки за сигурност са стандартни: редовно създаване на резервни копия на важни данни, многофакторна авторизация за всички привилегировани акаунти в корпоративните системи и елиминиране на всички експлоатируеми уязвимости в корпоративните мрежи.
Всички корпоративни услуги и интерфейси, достъпни от интернет, на теория могат да се превърнат във входна точка за нападателите. Съответно те трябва да бъдат защитени отделно или достъпът до тях трябва да бъде сведен до минимум.
Като цяло съображенията за сигурност изискват постоянно наблюдение на състоянието на мрежовите компоненти и своевременно инсталиране на актуализации за тях, отбелязват специалистите. В повечето случаи атаките са успешни, защото информацията за определена уязвимост вече е разпространена и актуализациите не са инсталирани навреме.