Киберпреступная группа под названием GhostSec была связана с разновидностью Golang семейства программ-вымогателей под названием GhostLocker.
"Группы GhostSec и Stormous совместно проводят атаки с использованием программ-вымогателей с двойным вымогательством на различные бизнес-вертикали во многих странах", - сказал исследователь Cisco Talos Четан Рагхупрасад в отчете, опубликованном в Hacker News.
"GhostLocker и Stormous ransomware запустили новую программу "Вымогательство как услуга" (RaaS) STMX_GhostLocker, предоставляющую различные опции для своих партнеров".
Атаки, организованные группой, были нацелены на жертв на Кубе, Аргентине, Польше, Китае, Ливане, Израиле, Узбекистане, Индии, Южной Африке, Бразилии, Марокко, Катаре, Турции, Египте, Вьетнаме, Таиланде и Индонезии.
Некоторые из наиболее затронутых бизнес-вертикалей включают технологии, образование, производство, правительство, транспорт, энергетику, медицинское право, недвижимость и телекоммуникации.
GhostSec – не путать с Ghost Security Group (которая также называется GhostSec) – является частью коалиции под названием The Five Families, в которую также входят ThreatSec, Stormous, Blackforums и SiegedSec.
Компания была создана в августе 2023 года, чтобы "установить лучшее единство и связи для всех в подпольном мире Интернета, расширить и расширить нашу работу и операции".
В конце прошлого года киберпреступная группа рискнула использовать программу-вымогатель как услугу (RaaS) с помощью GhostLocker, предлагая ее другим участникам за 269,99 долларов в месяц. Вскоре после этого Stormous ransomware group объявила, что будет использовать в своих атаках программы-вымогатели на базе Python.
Последние данные Talos показывают, что две группы объединились, чтобы не только нанести удар по широкому кругу секторов, но и выпустить обновленную версию GhostLocker в ноябре 2023 года, а в 2024 году запустить новую программу RaaS под названием STMX_GhostLocker.
"Новая программа состоит из трех категорий услуг для партнеров: платных, бесплатных и еще одной для лиц без программы, которые хотят только продавать или публиковать данные в своем блоге (сервис PYV)", - пояснил Рагхупрасад.
STMX_GhostLocker, у которого есть собственный сайт утечек в dark web, перечисляет не менее шести жертв из Индии, Узбекистана, Индонезии, Польши, Таиланда и Аргентины.
GhostLocker 2.0 (он же GhostLocker V2) написан на Go и рекламировался как полностью эффективный и предлагающий быстрые возможности шифрования / дешифрования. К нему также прилагается обновленное уведомление с требованием выкупа, в котором жертвам настоятельно предлагается связаться с ними в течение семи дней, иначе может произойти утечка их украденных данных.
Схема RaaS также позволяет аффилированным лицам отслеживать свои операции, состояние шифрования и платежи через веб-панель. Им также предоставляется конструктор, который позволяет настраивать полезную нагрузку locker в соответствии с их предпочтениями, включая каталоги для шифрования, а также процессы и службы, которые необходимо завершить перед началом процесса шифрования.
После развертывания программа-вымогатель устанавливает соединение с панелью управления (C2) и приступает к процедуре шифрования, но не раньше, чем отключит определенные процессы или службы и отфильтрует файлы, соответствующие определенному списку расширений.
Компания Talos заявила, что обнаружила два новых инструмента, которые, вероятно, используются GhostSec для компрометации законных сайтов. "Одна из них - это "набор инструментов глубокого сканирования GhostSec" для рекурсивного сканирования законных веб-сайтов, а другая - инструмент взлома для выполнения межсайтовых скриптовых атак (XSS) под названием "GhostPresser", - сказал Рагхупрасад.
GhostPresser в основном предназначен для взлома сайтов WordPress, позволяя злоумышленникам изменять настройки сайта, добавлять новые плагины и пользователей и даже устанавливать новые темы, демонстрируя приверженность GhostSec развитию своего арсенала.
"Сама группа заявила, что использовала ее для атак на жертв, но у нас нет никакого способа подтвердить любое из этих утверждений. Этот инструмент, вероятно, будет использоваться операторами программ-вымогателей по целому ряду причин", - сказал Талос The Hacker News.
"Инструмент глубокого сканирования можно использовать для поиска путей проникновения в сети жертв, а инструмент GhostPresser, в дополнение к компрометации веб-сайтов жертв, можно использовать для подготовки полезных данных для распространения, если они не хотят использовать инфраструктуру участников".
"Группы GhostSec и Stormous совместно проводят атаки с использованием программ-вымогателей с двойным вымогательством на различные бизнес-вертикали во многих странах", - сказал исследователь Cisco Talos Четан Рагхупрасад в отчете, опубликованном в Hacker News.
"GhostLocker и Stormous ransomware запустили новую программу "Вымогательство как услуга" (RaaS) STMX_GhostLocker, предоставляющую различные опции для своих партнеров".
Атаки, организованные группой, были нацелены на жертв на Кубе, Аргентине, Польше, Китае, Ливане, Израиле, Узбекистане, Индии, Южной Африке, Бразилии, Марокко, Катаре, Турции, Египте, Вьетнаме, Таиланде и Индонезии.
Некоторые из наиболее затронутых бизнес-вертикалей включают технологии, образование, производство, правительство, транспорт, энергетику, медицинское право, недвижимость и телекоммуникации.
GhostSec – не путать с Ghost Security Group (которая также называется GhostSec) – является частью коалиции под названием The Five Families, в которую также входят ThreatSec, Stormous, Blackforums и SiegedSec.
Компания была создана в августе 2023 года, чтобы "установить лучшее единство и связи для всех в подпольном мире Интернета, расширить и расширить нашу работу и операции".
В конце прошлого года киберпреступная группа рискнула использовать программу-вымогатель как услугу (RaaS) с помощью GhostLocker, предлагая ее другим участникам за 269,99 долларов в месяц. Вскоре после этого Stormous ransomware group объявила, что будет использовать в своих атаках программы-вымогатели на базе Python.
Последние данные Talos показывают, что две группы объединились, чтобы не только нанести удар по широкому кругу секторов, но и выпустить обновленную версию GhostLocker в ноябре 2023 года, а в 2024 году запустить новую программу RaaS под названием STMX_GhostLocker.
"Новая программа состоит из трех категорий услуг для партнеров: платных, бесплатных и еще одной для лиц без программы, которые хотят только продавать или публиковать данные в своем блоге (сервис PYV)", - пояснил Рагхупрасад.
STMX_GhostLocker, у которого есть собственный сайт утечек в dark web, перечисляет не менее шести жертв из Индии, Узбекистана, Индонезии, Польши, Таиланда и Аргентины.
GhostLocker 2.0 (он же GhostLocker V2) написан на Go и рекламировался как полностью эффективный и предлагающий быстрые возможности шифрования / дешифрования. К нему также прилагается обновленное уведомление с требованием выкупа, в котором жертвам настоятельно предлагается связаться с ними в течение семи дней, иначе может произойти утечка их украденных данных.
Схема RaaS также позволяет аффилированным лицам отслеживать свои операции, состояние шифрования и платежи через веб-панель. Им также предоставляется конструктор, который позволяет настраивать полезную нагрузку locker в соответствии с их предпочтениями, включая каталоги для шифрования, а также процессы и службы, которые необходимо завершить перед началом процесса шифрования.
После развертывания программа-вымогатель устанавливает соединение с панелью управления (C2) и приступает к процедуре шифрования, но не раньше, чем отключит определенные процессы или службы и отфильтрует файлы, соответствующие определенному списку расширений.
Компания Talos заявила, что обнаружила два новых инструмента, которые, вероятно, используются GhostSec для компрометации законных сайтов. "Одна из них - это "набор инструментов глубокого сканирования GhostSec" для рекурсивного сканирования законных веб-сайтов, а другая - инструмент взлома для выполнения межсайтовых скриптовых атак (XSS) под названием "GhostPresser", - сказал Рагхупрасад.
GhostPresser в основном предназначен для взлома сайтов WordPress, позволяя злоумышленникам изменять настройки сайта, добавлять новые плагины и пользователей и даже устанавливать новые темы, демонстрируя приверженность GhostSec развитию своего арсенала.
"Сама группа заявила, что использовала ее для атак на жертв, но у нас нет никакого способа подтвердить любое из этих утверждений. Этот инструмент, вероятно, будет использоваться операторами программ-вымогателей по целому ряду причин", - сказал Талос The Hacker News.
"Инструмент глубокого сканирования можно использовать для поиска путей проникновения в сети жертв, а инструмент GhostPresser, в дополнение к компрометации веб-сайтов жертв, можно использовать для подготовки полезных данных для распространения, если они не хотят использовать инфраструктуру участников".
