CISA 和 FBI 表示，部署“幽靈”勒索軟件的攻擊者已入侵了來自 70 多個國家多個行業領域的受害者，其中包括關鍵基礎設施組織。

受影響的其他行業包括醫療保健、政府、教育、科技、制造業以及眾多中小型企業。

CISA、FBI 以及 MS-ISAC 聯合發布的一份咨詢報告稱：“自 2021 年初開始，幽靈黑客開始攻擊那些互聯網服務所運行的軟件和固件版本過時的受害者。”目前，這種對存在漏洞的網絡不加區分的攻擊已導致全球 70 多個國家的組織受到侵害。

幽靈勒索軟件的運營者經常更換其惡意軟件可執行文件，更改加密文件的擴展名，修改勒索信的內容，并使用多個電子郵件地址進行勒索溝通，導致該組織的歸屬很難被及時確定。

與該組織有關聯的名稱包括 Ghost、Cring、Crypt3r、 Phantom、 Strike、 Hello、 Wickrme、HsHarada、和 Rapture。其攻擊中使用的勒索軟件樣本包括“Cring.exe”“Ghost.exe”“ ElysiumO.exe” 和“Locker.exe”。

這個以盈利為目的的勒索軟件團伙利用公開可獲取的代碼來攻擊存在安全漏洞的服務器。他們針對的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修補的漏洞。

為防范幽靈勒索軟件攻擊，建議網絡防御人員采取以下措施：

1.定期和異地備份不能被勒索軟件加密的系統；

2.盡快修補操作系統、軟件和固件漏洞；

3.重點關注幽靈勒索軟件針對的安全漏洞（即CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）；

4.分割網絡以限制受感染設備的橫向移動；

5.對所有特權帳戶和電子郵件服務帳戶實施防網絡釣魚的多因素身份驗證（MFA）。

Amigo_A和Swisscom的CSIRT團隊在2021年初首次發現Ghost勒索軟件后，他們的運營商就開始投放定制的Mimikatz樣本，然后是CobaltStrike信標，并使用合法的Windows CertUtil證書管理器部署勒索軟件有效載荷，以繞過安全軟件。

除了在Ghost勒索軟件攻擊中被用于初始訪問之外，國家支持的黑客組織還掃描了易受攻擊的Fortinet SSL VPN設備，并針對CVE-2018-13379漏洞進行了攻擊。

攻擊者還濫用了同樣的安全漏洞，破壞了可以通過互聯網訪問的美國選舉支持系統。

Fortinet在2019年8月、2020年7月、2020年11月和2021年4月多次警告客戶，要針對CVE-2018-13379給SSL VPN設備打補丁。

CISA、FBI和MS-ISAC本周發布的聯合咨詢報告還包括妥協指標（ioc）、戰術、技術和程序（TTPs），以及與FBI調查期間發現的幽靈勒索軟件活動相關的檢測方法（最近在2025年1月）。

參考及來源：https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/