Ransomware Ghost afecta a empresas en más de 70 países, alertan el FBI y CISA.
Los grupos de ransomware solían modificar con frecuencia sus nombres y los métodos de cifrado que utilizaban.
Las agencias de seguridad de EE.UU., como el FBI y la CISA, han emitido una advertencia sobre las operaciones de los grupos de cibercriminales responsables del ransomware Ghost, que han afectado a organizaciones en más de 70 países. La alerta indica que estas entidades están apuntando principalmente a la infraestructura crítica, pero también tienen interés en sectores como la salud, el gobierno, la tecnología y la manufactura. Las víctimas de estos ataques pueden ser tanto grandes corporaciones como pequeñas y medianas empresas.
Desde principios de 2021, los actores detrás de Ghost han estado atacando a víctimas cuyos servicios en línea operaban con versiones desactualizadas de software y firmware. Este tipo de apuntes indiscriminados ha facilitado la invasión de redes vulnerables, lo que ha resultado en la afectación de numerosas organizaciones en diversos países, incluso en China.
La dificultad para atribuir estos ataques a un solo grupo radica en que los cibercriminales utilizan diferentes nombres, extensiones de archivo, notas de rescate y otros elementos. Entre los nombres utilizados se encuentran Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture. Los investigadores también han identificado varios ejecutables de cifrado, como Cring.exe, Ghost.exe, ElysiumO.exe y Locker.exe.
Los atacantes han empleado tácticas que incluyen la explotación de puntos finales no parcheados, principalmente enfocándose en vulnerabilidades en productos de Fortinet, ColdFusion y Exchange. La mejor estrategia para defenderse contra este tipo de ransomware es mantener actualizado tanto el software como el hardware. Casi todas las vulnerabilidades mencionadas han sido corregidas por los proveedores, por lo que aplicar un parche puede reducir significativamente el riesgo.
Adicionalmente, se ha informado que hackers patrocinados por estados también han utilizado la vulnerabilidad CVE-2018-13379 para comprometer, entre otros objetivos, sistemas de soporte electoral en línea en Estados Unidos. Esta falla fue corregida hace años, y Fortinet ha advertido sobre su abuso en varias ocasiones durante los años 2019, 2020 y 2021.
