Hackers apoiados pela China atingiram organizações em mais de 70 países. Os atacantes implantam ransomware poucas horas após o acesso.
O Federal Bureau of Investigation (FBI), a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Centro de Compartilhamento de Informações e Análise de Informações Multi-Estados (MS-ISAC) emitiu um Aviso conjunto em 19 de fevereiro de 2025sobre a operação de ransomware “Smash-and-Grab”.
O Ransomware Ghost Strikes sem phishing. O grupo explora sistemas não patches diretamente, criptografando os dados das vítimas poucas horas após o acesso inicial.
“Em várias instâncias, eles foram observados que procedem do compromisso inicial à implantação de ransomware no mesmo dia”, afirma o consultivo. Grupos tradicionais de ransomware normalmente passam semanas ou meses dentro das redes antes de atacar.
Os atores fantasmas procuram vulnerabilidades específicas nos Fortinet Fortios, Adobe Coldfusion, Microsoft SharePoint e Exchange Servers. Uma vez lá dentro, eles implantam o Cobalt Strike para operações de comando e controle antes de lançar suas ferramentas de criptografia. Roger Grimes do KnowBe4 identificou Software e firmware não atingidos para se envolver em pelo menos um terço dos compromissos bem -sucedidos.
As vítimas abrangem vários setores: infraestrutura crítica, saúde, redes governamentais, educação, tecnologia, manufatura e instituições religiosas. O grupo exige pagamentos de criptomoeda que variam de dezenas a centenas de milhares de dólares.
Uma característica distinta: o fantasma raramente rouba dados significativos, apesar de ameaçar vazar arquivos. O FBI observou apenas “Download limitado de dados para servidores da equipe de ataque cobalto”. Isso sugere que eles dependem de ameaças vazias, em vez de roubo de dados reais para pressionar as vítimas.
Os atores fantasmas foram ativo desde o início de 2021. A capacidade do grupo de mudar rapidamente as táticas levou seus ataques a serem atribuídos a vários nomes, incluindo Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, Hsharada e Rapture. Eles abandonam os ataques ao enfrentar medidas de segurança robustas, buscando metas mais fáceis.
“Dado que os alvos fantasmas dos produtos são projetados para empresas e os CVEs que estão sendo explorados estão tão desatualizados que destaca uma necessidade urgente de reforçar práticas fundamentais de segurança”. diz Simon Phillipsdiretor de tecnologia da Secureack.
As organizações têm tempo mínimo para detectar e responder às incursões de Ghost. A janela de ataque curta exige uma vigilância aumentada contra vulnerabilidades de software desatualizadas e recursos mais rápidos de resposta a incidentes.
As autoridades federais recomendam backups offline, patches imediatos, segmentação de rede e forte autenticação para todas as contas críticas. O Aviso, lançado como parte da campanha #STOPRANSOMware da CISA, contém indicadores detalhados de compromisso e análise técnica de investigações do FBI até janeiro de 2025.
