超15国多行业遭GhostLocker双重勒索攻击

思科Talos的研究员Chetan Raghuprasad在一份报告中指出:“GhostSec和Stormous勒索软件组织联合发起了针对超15个国家各行业的双重勒索攻击。”

“GhostLocker和Stormous勒索软件已推出一项新的勒索即服务(RaaS)计划,名为STMX_GhostLocker,旨在为附属机构提供多样选择。”

这一组织发动的攻击涵盖了古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国和印度尼西亚等国家的受害者。

技术、教育、制造、政府、交通、能源、法医、房地产和电信等一些行业遭受了严重影响。

GhostSec(切勿与Ghost Security Group混淆,后者也被称为GhostSec)是“五大家族”联盟的一部分,该联盟还包括ThreatSec、Stormous、Blackforums和SiegedSec。

该组织成立于2023年8月,旨在“促进互联网地下世界的团结与联系,扩大并发展我们的工作和运营。”

去年年底,该网络犯罪组织通过GhostLocker进军勒索软件即服务(RaaS),以每月269.99美元的价格向其他参与者提供服务。随后,Stormous勒索软件组织宣布将采用基于Python的勒索软件进行攻击。

Talos最新的调查结果显示,这两个组织联手不仅涉及广泛领域的攻击,而且在2023年11月发布GhostLocker的更新版本,并于2024年推出了名为STMX_GhostLocker的全新RaaS计划。

Raghuprasad解释道:“新计划包括向附属机构提供的付费服务、免费服务以及用于在博客上出售或发布数据的个人服务(PYV服务)。”

STMX_GhostLocker在暗网上设有自己的泄密网站,上面列示了至少6名来自印度、乌兹别克斯坦、印尼、波兰、泰国和阿根廷的受害者。

GhostLocker 2.0(又称GhostLocker V2)是用Go编写的,号称完全高效并提供快速的加密/解密功能。它还配有修改后的勒索信,督促受害者在7天内联系他们,否则就有泄露数据的风险。

RaaS计划允许附属机构通过网络面板追踪运营、监控加密状态和支付情况,并提供一个构建器,根据其偏好配置负载,包括待加密目录以及加密过程开始前需终止的进程和服务。

一旦部署,勒索软件将与命令和控制(C2)面板建立连接,继续执行加密例程,但在此之前将终止指定进程或服务,并窃取与特定扩展名列表匹配的文件。

Talos表示,他们发现GhostSec可能使用两种新工具破坏合法网站。“其中之一是‘GhostSec深度扫描工具集’,用于递归扫描合法网站,另一个是名为‘GhostPresser’的进行跨站点脚本(XSS)攻击的黑客工具,”Raghuprasad解释。

GhostPresser的主要目的是入侵WordPress网站,允许威胁行为者更改网站设置、添加新插件和用户,甚至安装新主题,这表明GhostSec致力于壮大其武器库。

“该组织宣称他们使用该工具攻击受害者,但我们无法验证这些说法。勒索软件运营商可能会因多种原因使用该工具,”Talos告诉《黑客新闻》。

“深度扫描工具可用来寻找进入受害者网络的途径,而GhostPresser工具不仅危害受害者网站,还可以用于暂存有效载荷以进行分发,以避免使用攻击者基础设施。”

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络安全服务

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值