思科Talos的研究员Chetan Raghuprasad在一份报告中指出:“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。”
“GhostLocker和Stormous勒索软件已推出一项新的勒索即服务(RaaS)计划,名为STMX_GhostLocker,旨在为附属机构提供多样选择。”
这一组织发动的攻击涵盖了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚等国家的受害者。
技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。
GhostSec(切勿与Ghost Security Group混淆,后者也被称为GhostSec)是“五大家族”联盟的一部分,该联盟还包括ThreatSec、Stormous、Blackforums和SiegedSec。
该组织成立于2023年8月,旨在“促进互联网地下世界的团结与联系,扩大并发展我们的工作和运营。”
去年年底,该网络犯罪组织通过GhostLocker进军勒索软件即服务(RaaS),以每月269.99美元的价格向其他参与者提供服务。随后,Stormous勒索软件组织宣布将采用基于Python的勒索软件进行攻击。
Talos最新的调查结果显示,这两个组织联手不仅涉及广泛领域的攻击,而且在2023年11月发布GhostLocker的更新版本,并于2024年推出了名为STMX_GhostLocker的全新RaaS计划。
Raghuprasad解释道:“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务(PYV服务)。”
STMX_GhostLocker在暗网上设有自己的泄密网站,上面列示了至少6名来自印度、乌兹别克斯坦、印尼、波兰、泰国和阿根廷的受害者。
GhostLocker 2.0(又称GhostLocker V2)是用Go编写的,号称完全高效并提供快速的加密/解密功能。它还配有修改后的勒索信,督促受害者在7天内联系他们,否则就有泄露数据的风险。
RaaS计划允许附属机构通过网络面板追踪运营、监控加密状态和支付情况,并提供一个构建器,根据其偏好配置负载,包括待加密目录以及加密过程开始前需终止的进程和服务。
一旦部署,勒索软件将与命令和控制(C2)面板建立连接,继续执行加密例程,但在此之前将终止指定进程或服务,并窃取与特定扩展名列表匹配的文件。
Talos表示,他们发现GhostSec可能使用两种新工具破坏合法网站。“其中之一是‘GhostSec深度扫描工具集’,用于递归扫描合法网站,另一个是名为‘GhostPresser’的进行跨站点脚本(XSS)攻击的黑客工具,”Raghuprasad解释。
GhostPresser的主要目的是入侵WordPress网站,允许威胁行为者更改网站设置、添加新插件和用户,甚至安装新主题,这表明GhostSec致力于壮大其武器库。
“该组织宣称他们使用该工具攻击受害者,但我们无法验证这些说法。勒索软件运营商可能会因多种原因使用该工具,”Talos告诉《黑客新闻》。
“深度扫描工具可用来寻找进入受害者网络的途径,而GhostPresser工具不仅危害受害者网站,还可以用于暂存有效载荷以进行分发,以避免使用攻击者基础设施。”
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。