Le groupe de cybercriminalité appelé GhostSec a été lié à une variante Golang d’une famille de ransomwares appelée FantômeLocker.
« Les groupes de ransomware TheGhostSec et Stormous mènent conjointement des attaques de ransomware à double extorsion sur divers secteurs d’activité dans plusieurs pays », Chetan Raghuprasad, chercheur chez Cisco Talos. dit dans un rapport partagé avec The Hacker News.
« GhostLocker et Stormous ransomware ont lancé un nouveau programme de ransomware-as-a-service (RaaS) STMX_GhostLocker, offrant diverses options à leurs affiliés. »
Les attaques organisées par le groupe ont ciblé des victimes à Cuba, en Argentine, en Pologne, en Chine, au Liban, en Israël, en Ouzbékistan, en Inde, en Afrique du Sud, au Brésil, au Maroc, au Qatar, en Turquie, en Égypte, au Vietnam, en Thaïlande et en Indonésie.
Certains des secteurs d’activité les plus touchés comprennent la technologie, l’éducation, la fabrication, le gouvernement, les transports, l’énergie, le secteur médico-légal, l’immobilier et les télécommunications.
GhostSec – à ne pas confondre avec Groupe de sécurité fantôme (également appelé GhostSec) – fait partie d’une coalition appelée Les cinq famillesqui comprend également ThreatSec, Stormous, Blackforums et SiegedSec.
Il a été créé en août 2023 pour « établir une meilleure unité et de meilleures connexions pour tous dans le monde souterrain d’Internet, afin d’étendre et de développer notre travail et nos opérations ».
À la fin de l’année dernière, le groupe de cybercriminalité aventuré se lance dans le ransomware-as-a-service (RaaS) avec GhostLocker, le proposant à d’autres acteurs pour 269,99 $ par mois. Peu de temps après, le groupe de ransomware Stormous a annoncé qu’il utiliserait un ransomware basé sur Python dans ses attaques.
Les dernières découvertes de Talos montrent que les deux groupes se sont unis pour non seulement s’attaquer à un large éventail de secteurs, mais également lancer une version mise à jour de GhostLocker en novembre 2023 et lancer un nouveau programme RaaS en 2024 appelé STMX_GhostLocker.
« Le nouveau programme est composé de trois catégories de services pour les affiliés : payants, gratuits et une autre pour les individus sans programme qui souhaitent uniquement vendre ou publier des données sur leur blog (service PYV) », a expliqué Raghuprasad.
STMX_GhostLocker, qui dispose de son propre site de fuite sur le dark web, recense pas moins de six victimes originaires d’Inde, d’Ouzbékistan, d’Indonésie, de Pologne, de Thaïlande et d’Argentine.
GhostLocker 2.0 (alias GhostLocker V2) est écrit en Go et a été annoncé comme étant pleinement efficace et offrant des capacités de cryptage/déchiffrement rapides. Il est également accompagné d’une demande de rançon remaniée qui invite les victimes à les contacter dans les sept jours, sous peine de risquer la fuite de leurs données volées.
Le système RaaS permet également aux affiliés de suivre leurs opérations, de surveiller l’état du cryptage et les paiements via un panneau Web. Ils disposent également d’un constructeur qui permet de configurer la charge utile du casier en fonction de leurs préférences, y compris les répertoires à chiffrer et les processus et services à terminer avant de commencer le processus de chiffrement.
Une fois déployé, le ransomware établit une connexion avec un panneau de commande et de contrôle (C2) et procède à la routine de cryptage, mais pas avant de tuer les processus ou services définis et d’exfiltrer les fichiers correspondant à une liste spécifique d’extensions.
Talos a déclaré avoir découvert deux nouveaux outils probablement utilisés par GhostSec pour compromettre des sites légitimes. « L’un d’eux est l’ensemble d’outils ‘GhostSec Deep Scan’ pour analyser des sites Web légitimes de manière récursive, et un autre est un outil de piratage pour effectuer des attaques de script intersite (XSS) appelé ‘GhostPresser' », a déclaré Raghuprasad.
GhostPresser est principalement conçu pour s’introduire dans les sites WordPress, permettant aux acteurs malveillants de modifier les paramètres du site, d’ajouter de nouveaux plugins et utilisateurs, et même d’installer de nouveaux thèmes, démontrant l’engagement de GhostSec à faire évoluer son arsenal.
« Le groupe lui-même a affirmé l’avoir utilisé dans des attaques contre des victimes, mais nous n’avons aucun moyen de valider ces affirmations. Cet outil serait probablement utilisé par les opérateurs de ransomware pour diverses raisons », a déclaré Talos. L’actualité des hackers.
« L’outil d’analyse approfondie pourrait être exploité pour rechercher des voies d’accès aux réseaux des victimes et l’outil GhostPresser, en plus de compromettre les sites Web des victimes, pourrait être utilisé pour organiser les charges utiles à distribuer, si elles ne souhaitent pas utiliser l’infrastructure des acteurs. »