Napadi cyber kriminalaca: Varijanta Ghost ransomwarea cilja organizacije diljem svijeta
Cyber kriminalne grupe koriste varijantu Ghost ransomwarea i do sada su uspješno napale organizacije u više od 70 zemalja širom svijeta. Prema novom zajedničkom sigurnosnom savjetu, koji su nedavno objavili američka Agencija za kibernetsku sigurnost i infrastrukturu (CISA), FBI i Multis državnim informacijskim centrom za razmjenu i analizu (MS-ISAC), ove grupe najčešće ciljaju infrastrukturu kritične važnosti, ali su također zainteresirane za sektore kao što su zdravstvo, vlada, tehnologija, proizvodnja i drugi. Napadnute mogu biti kako velike korporacije, tako i mala i srednja poduzeća (SMB).
Kako se odvijaju napadi?
Od ranog 2021. godine, napadači povezani s Ghost ransomwareom počeli su napadati žrtve čije su usluge dostupne putem interneta koristile zastarjele verzije softvera i firmware-a. “Ova nespecifična ciljana akcija na mreže s ranjivostima dovela je do kompromitacije organizacija u više od 70 zemalja, uključujući i organizacije u Kini,” navode tri agencije u svom izvještaju.
Teškoće u identifikaciji napadača
Budući da grupe koriste različite nazive, ekstenzije datoteka i poruke za otkup, teško je bilo odrediti tko je odgovoran za napade. Neki od naziva koje koriste uključuju: Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada i Rapture. Istraživači su primijetili nekoliko ekstenzija za enkripciju, uključujući Cring.exe, Ghost.exe, ElysiumO.exe i Locker.exe.
Načini kompromitacije
Grupacije obično ciljale ranjive krajnje točke. Najčešće su napadali ranjivosti Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) i Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Ovo ukazuje na alarmantnu situaciju koja zahtijeva hitno djelovanje svih organizacija.
Kako se zaštititi od Ghost ransomwarea?
Najbolji način zaštite protiv operatera Ghost ransomwarea je održavanje softvera i hardvera ažurnim. Sve ranjivosti navedene u izvještaju već su ispravljene od strane svojih dobavljača, pa je smanjenje rizika jednostavno kao primjena zakrpe. Uz to, zlonamjerni hakeri, potpomognuti državama, također su ciljali CVE-2018-13379 kako bi, između ostalog, kompromitirali internetske sustave podrške za izbore u SAD-u. Ova greška je zakrpljena prije nekoliko godina, dok je Fortinet upozoravao na njezinu zloupotrebu u brojnim prilikama tijekom 2019., 2020. i 2021. godine.
Zaključak
Svijet cyber sigurnosti suočava se s ozbiljnim prijetnjama poput Ghost ransomwarea. Organizacije svih veličina trebaju poduzimati korake za zaštitu svojih sustava i podataka. Redovito ažuriranje softvera i praćenje ranjivosti ključni su koraci u očuvanju sigurnosti. U borbi protiv cyber kriminala, proaktivan pristup može značajno smanjiti rizik od napada.
