El FBI y la Agencia de Seguridad de Infraestructuras y Ciberseguridad de EE.UU. han emitido un aviso conjunto para alertar de que la operación de ransomware Ghost sigue muy activa y continúa cobrándose víctimas.
Los federales explican que esta amenaza ha infectado infraestructuras y entidades críticas y en todos los sectores y han podido observar como ha exigido rescates recientemente, como en enero.
La esquiva banda ya habría acumulado víctimas en más de 70 países en total, incluyendo China, su tierra natal.
Ghost se manifestó por primera vez en 2021 y desde entonces ha rotado las cargas ejecutables de ransomware, cambiado las extensiones de archivo de los archivos cifrados y modificado el texto de las notas de rescate. Además, usa numerosas direcciones de correo electrónico de rescate, "lo que ha llevado a una atribución varíable de este grupo a lo largo del tiempo".
En estos años a este grupo fantasmal le han atribuído distintos nombres. Además de Ghost se ha identificado como Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture.
Cómo opera Ghost
Pese a ese baile de nombres, el grupo sigue las mismas tácticas: ataca sistemas que no tienen parches para explotar vulnerabilidades conocidas que le permiten infectar a sus objetivos.
Después de un ataque inicial que aprovecha fallas conocidas, Ghost carga una puerta trasera de shell web en el servidor comprometido, lo que permite a la banda usar el símbolo del sistema de Windows y/o PowerShell para ejecutar Cobalt Strike Beacon en el sistema de Microsoft de esa víctima.
Su siguiente movimiento es usar la funcionalidad de Cobalt Strike para robar tokens de proceso que pertenecen a los usuarios del sistema, según recoge The Register. Si la banda obtiene esos tokens, usará los privilegios elevados que confieren para moverse lateralmente a través de la red, ejecutar comandos de PowerShell en sistemas adicionales e infectar más dispositivos con Cobalt Strike.
El FBI y compañía recomiendan algunas tácticas básicas de seguridad, como parchear vulnerabilidades conocidas y mantener copias de seguridad del sistema.