Boletín de ciberataques: Cómo las amenazas utilizan los certificados EV

Boletín de ciberataques: Cómo las amenazas utilizan los certificados EV

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. cybercriminels
    >
  2. Grupo de ransomware

Ghost

Ghost (también conocido como Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture) es un grupo de ransomware originario de China que aprovecha vulnerabilidades de software obsoleto para atacar a organizaciones de todo el mundo.

Detectar los TTP de Ghost
¿Está su organización a salvo de los ataques de Ghost?
Antecedentes y objetivos
TTPs
Cartografía MITRE
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas
ANTECEDENTES
PAÍSES
INDUSTRIAS
VÍCTIMAS

El origen del ransomware Ghost

Ghost es un grupo de amenazas con motivaciones financieras que surgió a principios de 2021. Se cree que el grupo opera desde China y es conocido por sus ataques rápidos y muy oportunistas. A diferencia de algunos actores de ransomware que establecen una persistencia a largo plazo, los operadores de Ghost normalmente se infiltran en una red, despliegan su ransomware y salen en tan solo unos días, según CISA. Al explotar vulnerabilidades de software obsoletas, escalan rápidamente privilegios, desactivan las defensas de seguridad y cifran archivos críticos, dejando a las víctimas con poco tiempo para responder. Su objetivo es sencillo: maximizar el beneficio económico lo antes posible, antes de que los defensores puedan detectar y mitigar el ataque.

Países objetivo de Ghost

Ghost ha comprometido organizaciones en más de 70 países, con ataques confirmados en China y otros muchos lugares.

Industrias objetivo de Ghost

El ransomware Ghost afecta a un amplio espectro de sectores, como las infraestructuras críticas, la educación, la sanidad, las redes gubernamentales, las instituciones religiosas, la tecnología y la industria manufacturera. Las pequeñas y medianas empresas también se ven afectadas con frecuencia.

Víctimas Ghost

Aunque no siempre se revelan los nombres concretos de las víctimas, los incidentes de Ghost ransomware han afectado a organizaciones de diversos sectores. Dado que se centra en la extorsión financiera, las víctimas suelen ser instituciones con datos valiosos y defensas de ciberseguridad limitadas.

Método de ataque

Método de ataque Ghost

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Los actores Ghost aprovechan vulnerabilidades en Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint y Microsoft Exchange (vulnerabilidades ProxyShell) para obtener acceso no autorizado.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Los atacantes utilizan herramientas como SharpZeroLogon, SharpGPPPass, BadPotato y GodPotato para elevar privilegios y hacerse pasar por usuarios de alto nivel del sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

El grupo desactiva Windows Defender y otras soluciones antivirus, modifica las herramientas de seguridad y ejecuta comandos para pasar desapercibido.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Los actores Ghost aprovechan la función "hashdump" deCobalt Strikey Mimikatz para robar credenciales de inicio de sesión.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Los atacantes llevan a cabo el descubrimiento de cuentas de dominio, el descubrimiento de procesos y la enumeración de recursos compartidos de red utilizando herramientas como SharpShares y Ladon 911.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Los comandos PowerShell y Windows Management Instrumentation (WMI ) se utilizan para desplazarse por las redes de las víctimas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

El ransomware se ejecuta mediante PowerShell, Windows Command Shell y shells web cargados.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Aunque el robo de datos no es un objetivo principal, algunos archivos se roban a través de los servidores deCobalt Strike Team y el almacenamiento cloud de Mega.nz.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El ransomware cifra los archivos mediante Cring.exe, Ghost.exe, ElysiumO.exe y Locker.exe, y deja inaccesibles los datos de la víctima a menos que se pague un rescate.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Los actores Ghost aprovechan vulnerabilidades en Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint y Microsoft Exchange (vulnerabilidades ProxyShell) para obtener acceso no autorizado.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Los atacantes utilizan herramientas como SharpZeroLogon, SharpGPPPass, BadPotato y GodPotato para elevar privilegios y hacerse pasar por usuarios de alto nivel del sistema.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

El grupo desactiva Windows Defender y otras soluciones antivirus, modifica las herramientas de seguridad y ejecuta comandos para pasar desapercibido.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Los actores Ghost aprovechan la función "hashdump" deCobalt Strikey Mimikatz para robar credenciales de inicio de sesión.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Los atacantes llevan a cabo el descubrimiento de cuentas de dominio, el descubrimiento de procesos y la enumeración de recursos compartidos de red utilizando herramientas como SharpShares y Ladon 911.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Los comandos PowerShell y Windows Management Instrumentation (WMI ) se utilizan para desplazarse por las redes de las víctimas.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

El ransomware se ejecuta mediante PowerShell, Windows Command Shell y shells web cargados.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Aunque el robo de datos no es un objetivo principal, algunos archivos se roban a través de los servidores deCobalt Strike Team y el almacenamiento cloud de Mega.nz.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

El ransomware cifra los archivos mediante Cring.exe, Ghost.exe, ElysiumO.exe y Locker.exe, y deja inaccesibles los datos de la víctima a menos que se pague un rescate.

MITRE ATT&CK Cartografía

TTPs utilizados por Ghost

TA0001: Initial Access
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
T1047
Windows Management Instrumentation
TA0003: Persistence
T1505
Server Software Component
T1136
Create Account
T1098
Account Manipulation
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1564
Hide Artifacts
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1135
Network Share Discovery
T1087
Account Discovery
T1057
Process Discovery
T1018
Remote System Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1573
Encrypted Channel
T1132
Data Encoding
T1105
Ingress Tool Transfer
T1071
Application Layer Protocol
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
T1041
Exfiltration Over C2 Channel
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar Ghost con Vectra AI

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Cómo consigue el ransomware Ghost (Cring) acceder a una red?

Ghost aprovecha vulnerabilidades conocidas en software obsoleto, como Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint y Microsoft Exchange (vulnerabilidades ProxyShell).

¿Qué sectores son los más afectados por el ransomware Ghost ?

Infraestructuras críticas, educación, sanidad, redes gubernamentales, instituciones religiosas, tecnología, fabricación y pequeñas empresas.

¿Exfiltra Ghost los datos antes de cifrarlos?

Los actores Ghost exfiltran ocasionalmente datos limitados, pero el robo de datos a gran escala no es su objetivo principal.

¿Qué vulnerabilidades de seguridad suelen ser explotadas por Ghost?

Algunas CVE notables son:

  • CVE-2018-13379 (Fortinet FortiOS)
  • CVE-2010-2861, CVE-2009-3960 (Adobe ColdFusion)
  • CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (Microsoft Exchange ProxyShell).

¿Qué herramientas utiliza el ransomware Ghost ?

Los actores Ghost utilizan Cobalt Strike, Mimikatz, SharpZeroLogon, SharpGPPPass, BadPotato, GodPotato y scripts basados en PowerShell.

¿Cómo pueden defenderse las organizaciones contra el ransomware Ghost ?

Las organizaciones pueden defenderse del ransomware Ghost implantando soluciones de detección y respuesta a amenazas que vigilen la actividad inusual, detecten los intentos de explotación, bloqueen herramientas maliciosas como Cobalt Strike y permitan una respuesta rápida ante incidentes para contener y mitigar los ataques antes de que se produzca el cifrado.

¿A qué velocidad opera el ransomware Ghost ?

En muchos casos, los atacantes despliegan el ransomware el mismo día después de obtener el acceso inicial.

¿Cuál es la petición de rescate típica?

Los actores Ghost exigen rescates que oscilan entre decenas y cientos de miles de dólares, pagaderos en criptomoneda.

¿Cómo se comunica el grupo de ransomware Ghost con las víctimas?

Utilizan servicios de correo electrónico cifrado (Tutanota, ProtonMail, Skiff, Mailfence y Onionmail) y, desde hace poco, también utilizan TOX ID para la mensajería segura.

¿Deben las organizaciones pagar el rescate?

Las agencias de ciberseguridad desaconsejan encarecidamente el pago de rescates, ya que no garantizan la recuperación de los datos y pueden financiar nuevas actividades delictivas.

¿Está su organización a salvo de los ataques de Ghost?

Evalúe su exposición a los ataques