网络第5域

思科:超15国多行业遭GhostLocker双重勒索软件攻击

字号+作者: 来源:安全内参 2024-03-08 00:00 评论(创建话题) 收藏成功收藏本文

技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。思科Talos的研究员Chetan Raghuprasad在一份报告中指出:“GhostSe'...

技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。

思科Talos的研究员Chetan Raghuprasad在一份报告中指出:“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。”xr1品论天涯网

xr1品论天涯网

“GhostLocker和Stormous勒索软件已推出一项新的勒索即服务(RaaS)计划,名为STMX_GhostLocker,旨在为附属机构提供多样选择。”xr1品论天涯网

这一组织发动的攻击涵盖了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚等国家的受害者。xr1品论天涯网

技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。xr1品论天涯网

xr1品论天涯网

GhostSec(切勿与Ghost Security Group混淆,后者也被称为GhostSec)是“五大家族”联盟的一部分,该联盟还包括ThreatSec、Stormous、Blackforums和SiegedSec。xr1品论天涯网

该组织成立于2023年8月,旨在“促进互联网地下世界的团结与联系,扩大并发展我们的工作和运营。”xr1品论天涯网

去年年底,该网络犯罪组织通过GhostLocker进军勒索软件即服务(RaaS),以每月269.99美元的价格向其他参与者提供服务。随后,Stormous勒索软件组织宣布将采用基于Python的勒索软件进行攻击。xr1品论天涯网

Talos最新的调查结果显示,这两个组织联手不仅涉及广泛领域的攻击,而且在2023年11月发布GhostLocker的更新版本,并于2024年推出了名为STMX_GhostLocker的全新RaaS计划。xr1品论天涯网

Raghuprasad解释道:“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务(PYV服务)。”xr1品论天涯网

STMX_GhostLocker在暗网上设有自己的泄密网站,上面列示了至少6名来自印度、乌兹别克斯坦、印尼、波兰、泰国和阿根廷的受害者。xr1品论天涯网

GhostLocker 2.0(又称GhostLocker V2)是用Go编写的,号称完全高效并提供快速的加密/解密功能。它还配有修改后的勒索信,督促受害者在7天内联系他们,否则就有泄露数据的风险。xr1品论天涯网

RaaS计划允许附属机构通过网络面板追踪运营、监控加密状态和支付情况,并提供一个构建器,根据其偏好配置负载,包括待加密目录以及加密过程开始前需终止的进程和服务。xr1品论天涯网

一旦部署,勒索软件将与命令和控制(C2)面板建立连接,继续执行加密例程,但在此之前将终止指定进程或服务,并窃取与特定扩展名列表匹配的文件。xr1品论天涯网

Talos表示,他们发现GhostSec可能使用两种新工具破坏合法网站。“其中之一是‘GhostSec深度扫描工具集’,用于递归扫描合法网站,另一个是名为‘GhostPresser’的进行跨站点脚本(XSS)攻击的黑客工具,”Raghuprasad解释。xr1品论天涯网

GhostPresser的主要目的是入侵WordPress网站,允许威胁行为者更改网站设置、添加新插件和用户,甚至安装新主题,这表明GhostSec致力于壮大其武器库。xr1品论天涯网

“该组织宣称他们使用该工具攻击受害者,但我们无法验证这些说法。勒索软件运营商可能会因多种原因使用该工具,”Talos告诉《黑客新闻》。xr1品论天涯网

“深度扫描工具可用来寻找进入受害者网络的途径,而GhostPresser工具不仅危害受害者网站,还可以用于暂存有效载荷以进行分发,以避免使用攻击者基础设施。”xr1品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]