El ransomware Ghost : Ataca antes de que te des cuenta de que está ahí

26 de febrero de 2025

El ransomware Ghost : Ataca antes de que te des cuenta de que está ahí

El ransomware Ghost (también conocido como Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture) opera de forma diferente a muchas otras amenazas de ransomware: no permanece en las redes ni se basa en elaborados esquemas de phishing . En su lugar, se mueve con rapidez, entrando y saliendo en cuestión de días, a menudo lanzando su ataque de ransomware el mismo día en que obtiene acceso.

En lugar de utilizar la ingeniería social, Ghost aprovecha principalmente vulnerabilidades conocidas en software obsoleto, lo que hace especialmente vulnerables a las organizaciones con sistemas sin parches.

A diferencia de los grupos que roban y venden datos, el principal objetivo de Ghostes cifrar y pedir un rescate: bloquea los archivos, exige el pago y sigue adelante, dejando poco tiempo a las víctimas para reaccionar.

Cómo funciona el ransomware Ghost

Acceso inicial: explotación de vulnerabilidades de cara al público

Los actores Ghost no se basan en correos electrónicos de phishing o tácticas de ingeniería social como principal punto de entrada. En su lugar, explotan agresivamente vulnerabilidades conocidas en sistemas de acceso público, incluyendo:

Fortinet FortiOS(CVE-2018-13379)
Adobe ColdFusion(CVE-2010-2861, CVE-2009-3960)
Microsoft SharePoint(CVE-2019-0604)
Vulnerabilidades de Microsoft Exchange ProxyShell(CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)

Aprovechando el software sin parches, los actores Ghost pueden obtener acceso inicial a una red sin necesidad de interacción por parte del usuario, lo que dificulta la prevención de sus ataques.

Ejecución y codificación rápidas

Una vez dentro de una red, el ransomware Ghost se mueve con rapidez:

Escalada de privilegios: Los atacantes utilizan herramientas como SharpZeroLogon y BadPotato para obtener acceso a nivel de SISTEMA.
Desactivación de las herramientas de seguridad: Los actores Ghost desactivan Windows Defender y otras soluciones antivirus para evitar ser detectados.
Movimiento lateral: Se propagan por la red mediante comandos PowerShell y Windows Management Instrumentation (WMI).
Cifrado de archivos: La Ghost útil del ransomware -Ghost.exe, Ghost.exe o ElysiumO.exe- cifra los archivos, haciéndolos inaccesibles.
Petición de rescate: Se deja una nota exigiendo de decenas a cientos de miles de dólares en criptomoneda a cambio de las claves de descifrado.

Persistencia limitada y exfiltración de datos

A diferencia de otros operadores de ransomware que establecen una persistencia a largo plazo, los actores deGhost completan su ataque en pocos días. CISA ha observado que la persistencia no es una prioridad para este grupo. Aunque se produce cierta exfiltración de datos -a menudo utilizando los servidores Cobalt Strike Team o el Ghost cloud Mega.nz-, los actores de Ghost se centran principalmente en cifrar los datos en lugar de robarlos.

Por qué las herramientas de seguridad tradicionales no consiguen detener el ransomware Ghost

El ransomware Ghost no es una ciberamenaza típica. Elude las medidas de seguridad tradicionales, como cortafuegos, sistemas de detección y respuesta para puntos finales (EDR), sistemas de detección de intrusiones (IDS) e incluso soluciones de gestión de eventos e información de seguridad (SIEM). Estas herramientas dependen en gran medida de firmas de ataque conocidas, líneas de base de comportamiento y detección basada en reglas, pero Ghost opera demasiado rápido, aprovecha vulnerabilidades públicas y evade la detección el tiempo suficiente para completar su ataque.

1. Ghost explota vulnerabilidades de cara al público

Ghost no utiliza phishing ni adjuntos de correo electrónico malware. En su lugar, aprovecha directamente vulnerabilidades de software no parcheadas en Fortinet, Microsoft Exchange y Adobe ColdFusion. Las herramientas de seguridad tradicionales no suelen detectar aplicaciones legítimas pero vulnerables que están siendo explotadas.

2. Ghost se mueve demasiado rápido para la detección basada en el comportamiento

Muchas soluciones de seguridad se basan en la detección de anomalías y la supervisión del comportamiento de los terminales. Sin embargo, los operadoresGhost ejecutan su ataque en cuestión de horas o días, a menudo cifrando los datos el mismo día en que obtienen el acceso. Para cuando los sistemas SIEM agregan y analizan los registros, el daño ya está hecho.

3. Ghost vive de la tierra con herramientas nativas de Windows

El ransomware Ghost se mezcla perfectamente con la actividad legítima del sistema abusando de componentes nativos de Windows como PowerShell, Windows Command Shell y Windows Management Instrumentation (WMI). Estas herramientas integradas, utilizadas habitualmente para la administración de TI, dificultan que los productos de seguridad distingan las acciones maliciosas de las operaciones legítimas. Al vivir del terreno (LotL), Ghost evita la detección mientras se desplaza lateralmente por la red, ejecuta comandos y despliega ransomware sin ser detectado.

4. Ghost desactiva las medidas de seguridad

Ghost desactiva activamente Windows Defender, el software antivirus y otras protecciones de endpoints, neutralizando muchas defensas tradicionales antes de lanzar la carga útil del ransomware.

5. Ghost ataca rápido sin necesidad de persistencia

Dado que los actores Ghost no establecen una persistencia a largo plazo, las herramientas de seguridad tradicionales que buscan amenazas sostenidas pueden no detectarlo antes de que se produzca el cifrado.

Cómo Vectra AI detecta y detiene Ghost en tiempo real

El ransomware Ghost se mueve demasiado rápido para las soluciones de seguridad tradicionales, a menudo ejecutándose a las pocas horas del acceso inicial. SIEM, EDR y otras herramientas basadas en reglas tardan demasiado en analizar los registros y detectar patrones, lo que deja a los defensores varios pasos por detrás del ataque. Vectra AI, sin embargo, puede detectar y priorizar amenazas en cuestión de minutos, mucho más rápido que las soluciones tradicionales, que pueden tardar horas o incluso días en responder. Al aprovechar la detección de amenazas y la respuesta impulsadas por la IA, Vectra AI ofrece a los equipos de seguridad una ventaja crítica para detener Ghost antes de que comience el cifrado.

Por qué Vectra AI supera a la seguridad tradicional

1. Attack Signal Intelligence potenciada por IA

Ghost vive de la tierra, abusando de herramientas nativas de Windows como PowerShell y WMI para camuflarse con la actividad normal del administrador. Vectra AI detecta estos comportamientos sutiles de los atacantes en tiempo real, mucho antes de que se inicie el cifrado, algoque las herramientas tradicionales basadas en firmas no consiguen.

2. Detección precoz de movimientos laterales ocultos

Ghost se mueve rápidamente utilizando SMB, WMI y RDP, propagándose por la red antes de que los defensores se den cuenta de que se está produciendo un ataque. Vectra AI identifica el movimiento lateral sigilosoincluso cuando se disfraza de tareas administrativas rutinarias.

3. Priorización de amenazas en tiempo real

Las soluciones tradicionales generan demasiadas alertas, demasiado tarde, lo que dificulta que los equipos de seguridad reaccionen a tiempo. Vectra AI elimina el ruidocorrelacionando comportamientos y destacando las amenazas reales, para que los defensores puedan actuar inmediatamente.

4. Respuesta y contención automatizadas

Cuando Ghost alcanza la fase de movimiento lateral, Vectra AI ya ha escalado la amenaza para su reparación automática. Los hosts comprometidos se aíslan antes de que comience el cifrado, lo que detiene la ejecución de Ghostantes de que se produzcan daños generalizados.

5. Prevención más allá de las firmas

Dado que Ghost modifica las notas de rescate, las cargas útiles y los indicadores de ataque con frecuencia, la seguridad basada en firmas no consigue mantenerse al día. El enfoque basado en IA deVectra AIdetecta los comportamientos subyacentes de los atacantes, independientemente de la variante de la carga útil.

*Detecciones activadas durante un ataque de ransomware Ghost*

La seguridad tradicional es demasiado lenta: sólo la IA puede detener a Ghost a tiempo

El ransomware Ghost aprovecha las brechas en la seguridad tradicional, moviéndose demasiado rápido para que los firewalls, EDR, IDS y soluciones SIEM reaccionen a tiempo. Para defenderse de estos rápidos ataques de ransomware, las organizaciones necesitan detección y respuesta basadas en el comportamiento y potenciadas por IA. Vectra AI detecta y responde en tiempo real, deteniendo a Ghost y a otros actores de amenazas en cuestión de minutos en lugar de horas o días.

Para saber cómo Vectra AI puede proteger a su organización del ransomware, obtenga más información sobre nuestra Plataforma o solicite una demostración hoy mismo.

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos