El grupo de cibercrimen llamado GhostSec ha sido vinculado a una variante Golang de una familia de ransomware llamada casillero fantasma.
“Los grupos de ransomware TheGhostSec y Stormous están llevando a cabo conjuntamente ataques de ransomware de doble extorsión en varios sectores comerciales verticales en varios países”, Chetan Raghuprasad, investigador de Cisco Talos. dicho en un informe compartido con The Hacker News.
“GhostLocker y Stormous ransomware han iniciado un nuevo programa de ransomware como servicio (RaaS) STMX_GhostLocker, que ofrece varias opciones para sus afiliados”.
Los ataques organizados por el grupo han tenido como objetivo víctimas en Cuba, Argentina, Polonia, China, Líbano, Israel, Uzbekistán, India, Sudáfrica, Brasil, Marruecos, Qatar, Turkiye, Egipto, Vietnam, Tailandia e Indonesia.
Algunas de las verticales comerciales más afectadas incluyen tecnología, educación, manufactura, gobierno, transporte, energía, médico-legal, bienes raíces y telecomunicaciones.
GhostSec – no confundir con Grupo de seguridad fantasma (que también se llama GhostSec) – es parte de una coalición llamada Las cinco familiasque también incluye ThreatSec, Stormous, Blackforums y SiegedSec.
Se formó en agosto de 2023 para “establecer una mejor unidad y conexiones para todos en el mundo subterráneo de Internet, para expandir y hacer crecer nuestro trabajo y operaciones”.
A finales del año pasado, el grupo contra el cibercrimen aventurado en ransomware como servicio (RaaS) con GhostLocker, ofreciéndolo a otros actores por 269,99 dólares al mes. Poco después, el grupo de ransomware Stormous anunció que utilizará ransomware basado en Python en sus ataques.
Los últimos hallazgos de Talos muestran que los dos grupos se han unido no solo para atacar una amplia gama de sectores, sino también para lanzar una versión actualizada de GhostLocker en noviembre de 2023, así como para iniciar un nuevo programa RaaS en 2024 llamado STMX_GhostLocker.
“El nuevo programa se compone de tres categorías de servicios para los afiliados: pago, gratuito y otra para personas sin programa que sólo quieren vender o publicar datos en su blog (servicio PYV)”, explicó Raghuprasad.
STMX_GhostLocker, que viene con su propio sitio de filtración en la web oscura, enumera no menos de seis víctimas de India, Uzbekistán, Indonesia, Polonia, Tailandia y Argentina.
GhostLocker 2.0 (también conocido como GhostLocker V2) está escrito en Go y se ha anunciado como totalmente efectivo y que ofrece capacidades rápidas de cifrado/descifrado. También viene con una nota de rescate renovada que insta a las víctimas a ponerse en contacto con ellos dentro de los siete días o corren el riesgo de que se filtren sus datos robados.
El esquema RaaS también permite a los afiliados rastrear sus operaciones, monitorear el estado de cifrado y los pagos a través de un panel web. También cuentan con un constructor que permite configurar la carga útil del casillero según sus preferencias, incluidos los directorios a cifrar y los procesos y servicios a finalizar antes de comenzar el proceso de cifrado.
Una vez implementado, el ransomware establece conexión con un panel de comando y control (C2) y continúa con la rutina de cifrado, no sin antes eliminar los procesos o servicios definidos y filtrar archivos que coincidan con una lista específica de extensiones.
Talos dijo que descubrió dos nuevas herramientas probablemente utilizadas por GhostSec para comprometer sitios legítimos. “Uno de ellos es el ‘conjunto de herramientas GhostSec Deep Scan’ para escanear sitios web legítimos de forma recursiva, y otro es una herramienta de pirateo para realizar ataques de secuencias de comandos entre sitios (XSS) llamada ‘GhostPresser'”, dijo Raghuprasad.
GhostPresser está diseñado principalmente para ingresar a sitios de WordPress, permitiendo a los actores de amenazas alterar la configuración del sitio, agregar nuevos complementos y usuarios, e incluso instalar nuevos temas, lo que demuestra el compromiso de GhostSec con la evolución de su arsenal.
“El propio grupo ha afirmado que lo han utilizado en ataques a las víctimas, pero no tenemos ninguna manera de validar ninguna de esas afirmaciones. Esta herramienta probablemente sería utilizada por los operadores de ransomware por una variedad de razones”, dijo Talos. Las noticias de los piratas informáticos.
“La herramienta de escaneo profundo podría aprovecharse para buscar formas de ingresar a las redes de las víctimas y la herramienta GhostPresser, además de comprometer los sitios web de las víctimas, podría usarse para preparar cargas útiles para su distribución, si no quisieran utilizar la infraestructura del actor”.