Zagrożenie na globalną skalę
Ataki ransomware Ghost stanowią jedno z najbardziej rozległych zagrożeń dla cyberbezpieczeństwa w ostatnich latach. Cyberprzestępcy skutecznie infekują organizacje, szyfrując ich dane i żądając okupu za ich odszyfrowanie. W wyniku tych działań ucierpiały m.in. podmioty z sektora ochrony zdrowia, administracji, edukacji, technologii i przemysłu. Cyberprzestępcy nie ograniczają się jedynie do dużych korporacji – ofiarami ataków padają również małe i średnie firmy. Według oficjalnych informacji, aktywność grupy zwiększyła się na początku 2021 roku. Atakujący koncentrują się na organizacjach korzystających z przestarzałych wersji oprogramowania i firmware'u, co umożliwia im przenikanie do sieci i przejmowanie kontroli nad systemami. Analiza prowadzona przez ekspertów wykazała, że cyberprzestępcy masowo skanują sieci w poszukiwaniu podatnych na ataki systemów, co doprowadziło do naruszenia bezpieczeństwa w wielu krajach, w tym w Chinach.
Techniki stosowane przez cyberprzestępców
Operatorzy ransomware Ghost stosują zaawansowane techniki, by utrudnić identyfikację i przypisanie ich ataków do konkretnej grupy. Cyberprzestępcy regularnie modyfikują pliki wykonywalne swojego oprogramowania, zmieniają rozszerzenia zaszyfrowanych plików oraz treści żądań okupu. W celu unikania detekcji wykorzystują różne adresy e-mail do kontaktu z ofiarami. Atakujący stosują różnorodne narzędzia do eksploatacji luk w zabezpieczeniach. Wśród wykorzystywanych podatności znajdują się m.in. CVE-2018-13379 w systemach Fortinet SSL VPN oraz luki w ColdFusion i Microsoft Exchange. W przeszłości podatność ta była wykorzystywana przez hakerów wspieranych przez państwa, co potwierdza jej krytyczne znaczenie dla globalnego cyberbezpieczeństwa.
Zalecenia dla organizacji
Amerykańskie agencje CISA, FBI i MS-ISAC podkreślają, że skuteczna obrona przed ransomware Ghost wymaga kompleksowego podejścia do cyberbezpieczeństwa. Zalecane działania obejmują regularne wykonywanie kopii zapasowych przechowywanych offline, aktualizację systemów i oprogramowania oraz stosowanie uwierzytelniania wieloskładnikowego dla kont uprzywilejowanych. Eksperci zalecają również segmentację sieci, co ogranicza możliwość rozprzestrzeniania się ransomware w przypadku infekcji. Kluczowe jest szybkie reagowanie na wykryte luki w zabezpieczeniach, zwłaszcza w przypadku podatności intensywnie wykorzystywanych przez cyberprzestępców.
Narastające zagrożenie
Operatorzy ransomware Ghost kontynuują swoje działania, stale dostosowując metody ataków i rozwijając narzędzia, które pomagają im unikać wykrycia. Eksperci podkreślają, że globalna walka z tym zagrożeniem wymaga ściślej współpracy międzynarodowej oraz szerokiej edukacji na temat podstawowych zasad cyberbezpieczeństwa. Wspólne wysiłki zwiększają szansę na ograniczenie skuteczności tych ataków i ochronę instytucji przed stratami finansowymi oraz utratą danych.
