Autor przez Naveen Athrappully przez czas epoki (podkreślenie nasz),

Grupa ransomware o nazwie „Ghost” wykorzystuje słabości sieci różnych organizacji w celu uzyskania dostępu do swoich systemów, Zgodnie ze wspólnym doradcą wydanym przez wiele agencji federalnych USA.

„Począwszy od początku 2021 r. Aktorzy duchów zaczęli atakować ofiary, których usługi skierowane do Internetu przeprowadzały przestarzałe wersje oprogramowania i oprogramowania układowego”, powiedziała Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) w wspólnym 19 lutego doradczy. „Aktorzy duchów, zlokalizowanych w Chinach, przeprowadzają te powszechne ataki na zyski finansowe”.

Ataki ukierunkowały szkoły i uniwersytety, sieci rządowe, infrastrukturę krytyczną, firmy technologiczne i produkcyjne, opiekę zdrowotną oraz kilka małych i średnich firm.

“To bezkrytyczne ukierunkowanie na sieci zawierające luki w zabezpieczeniach doprowadziło do kompromisu organizacji w ponad 70 krajach, w tym organizacjach w Chinach”CISA, FBI i Centrum dzielenia się informacjami i analizy wielu stanu.

Aktorzy duchów są również powiązani z innymi nazwami, takimi jak Cring, Crypt3R, Hsharada, Hello, Wickrme, Phantom, Rapture i Strike.

Przestępcy używają publicznie dostępnego kodu do wykorzystania „wspólnych luk i ekspozycji” swoich celów w celu zapewnienia dostępu do serwerów. Wykorzystują luki w serwerach z Adobe Coldfusion, Microsoft Exchange i Microsoft SharePoint.

Podmioty zagrożeń używają narzędzi do „zbierania haseł i/lub haseł haseł, aby pomóc im w nieautoryzowanych loginach i eskalacji uprawnień lub do obrotu innych urządzeń ofiar”, czytamy ostrzeżenie. Atakerzy zazwyczaj spędzają tylko kilka dni w sieciach celu.

Zalecane przez organizacje zalecane przez organizacje Znane luki w sieci, stosując „terminowe aktualizacje bezpieczeństwa” do oprogramowania, oprogramowania i systemów operacyjnych.

Powiedział, że organizacje muszą szkolić użytkowników w zakresie rozpoznawania prób phishingowych. Podmioty powinny zidentyfikować, badać i wydawać powiadomienia dotyczące „nienormalnej aktywności sieciowej”.

„Utrzymuj regularne kopie zapasowe systemu, które są znane i przechowywane w trybie offline lub są segmentowane z systemów źródłowych”, dodał doradztwo.

„Ofiary oprogramowania ransomware duchów, na których atak nie miały wpływu na atak oprogramowania ransomware, często mogły przywrócić operacje bez konieczności kontaktu z aktorami duchów lub płacenia okupu”.

Upozycja wstępna przez Chiny

Dorada została wydana w ramach ciągłego wysiłku w celu przeciwdziałania zagrożeniom oprogramowania ransomware.

CISA wcześniej ostrzegł przed chińskimi zagrożeniami cybernetycznymi, przed którymi stoi Stany Zjednoczone. Chińskie sponsorowani przez państwo aktorzy chcą się przygotować w sieci IT, aby przeprowadzić „destrukcyjne lub niszczące cyberataki” przeciwko krytycznej infrastrukturze amerykańskiej w przypadku, gdy Pekin angażuje się w konflikt z Waszyngtonem, agencją mówi.

Volt Tajphoon, sponsorowany przez Pekin aktor cybernetyczny, zagroził środowiskom IT kilku krytycznych organizacji infrastrukturalnych w sektorach takich jak energia, transport, komunikacja i systemy wodne.

W listopadzie CISA i FBI szczegółowy Kampania „szerokiej i znaczącej cyberpiennika” prowadzonej przez chińskich hakerów, która naraziła na szwank sieci amerykańskich dostawców telekomunikacyjnych.

Hakerzy ukradli rekordy połączeń klientów i prywatną komunikację „ograniczonej liczby osób, które są przede wszystkim zaangażowane w działalność rządową lub polityczną”.

Rep. Mark Green (R-Tenn.), Przewodniczący komisji ds. Bezpieczeństwa wewnętrznego, powiedział: „Wykorzystanie luk w lukach przez Chińską Partię Komunistyczną u głównych dostawców usług internetowych jest najnowszym alarmem, który brzmi, jak Pekin, Teheran i Moskwa pracują nad Zdobądź strategiczne zalety dzięki cyberpodziarstwu, manipulacji i zniszczeniu. ”