CISA 和 FBI 表示，部署“幽灵”勒索软件的攻击者已入侵了来自 70 多个国家多个行业领域的受害者，其中包括关键基础设施组织。

受影响的其他行业包括医疗保健、政府、教育、科技、制造业以及众多中小型企业。

CISA、FBI 以及 MS-ISAC 联合发布的一份咨询报告称：“自 2021 年初开始，幽灵黑客开始攻击那些互联网服务所运行的软件和固件版本过时的受害者。”目前，这种对存在漏洞的网络不加区分的攻击已导致全球 70 多个国家的组织受到侵害。

幽灵勒索软件的运营者经常更换其恶意软件可执行文件，更改加密文件的扩展名，修改勒索信的内容，并使用多个电子邮件地址进行勒索沟通，导致该组织的归属很难被及时确定。

与该组织有关联的名称包括 Ghost、Cring、Crypt3r、 Phantom、 Strike、 Hello、 Wickrme、HsHarada、和 Rapture。其攻击中使用的勒索软件样本包括“Cring.exe”“Ghost.exe”“ ElysiumO.exe” 和“Locker.exe”。

这个以盈利为目的的勒索软件团伙利用公开可获取的代码来攻击存在安全漏洞的服务器。他们针对的是 Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）和 Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）中未修补的漏洞。

为防范幽灵勒索软件攻击，建议网络防御人员采取以下措施：

1.定期和异地备份不能被勒索软件加密的系统；

2.尽快修补操作系统、软件和固件漏洞；

3.重点关注幽灵勒索软件针对的安全漏洞（即CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）；

4.分割网络以限制受感染设备的横向移动；

5.对所有特权帐户和电子邮件服务帐户实施防网络钓鱼的多因素身份验证（MFA）。

Amigo_A和Swisscom的CSIRT团队在2021年初首次发现Ghost勒索软件后，他们的运营商就开始投放定制的Mimikatz样本，然后是CobaltStrike信标，并使用合法的Windows CertUtil证书管理器部署勒索软件有效载荷，以绕过安全软件。

除了在Ghost勒索软件攻击中被用于初始访问之外，国家支持的黑客组织还扫描了易受攻击的Fortinet SSL VPN设备，并针对CVE-2018-13379漏洞进行了攻击。

攻击者还滥用了同样的安全漏洞，破坏了可以通过互联网访问的美国选举支持系统。

Fortinet在2019年8月、2020年7月、2020年11月和2021年4月多次警告客户，要针对CVE-2018-13379给SSL VPN设备打补丁。

CISA、FBI和MS-ISAC本周发布的联合咨询报告还包括妥协指标（ioc）、战术、技术和程序（TTPs），以及与FBI调查期间发现的幽灵勒索软件活动相关的检测方法（最近在2025年1月）。

参考及来源：https://www.bleepingcomputer.com/news/security/cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries/