Ghost勒索軟體攻擊橫掃70國，美國FBI與CISA發布警報

美國聯邦調查局（FBI）和網路安全暨基礎設施安全局（CISA）於週三發布聯合警報，指出一個被稱為Ghost（又名Cring）的勒索軟體組織正在積極利用軟體和韌體漏洞進行攻擊。該組織據信來自中國，其攻擊目標遍及全球超過70個國家，受害機構包括中國境內的組織。

根據FBI、CISA和多州資訊共享分析中心（MS-ISAC）的聯合通報，自2021年初以來，Ghost組織已經入侵了多個領域的組織。受害者包含關鍵基礎設施、學校和大學、醫療機構、政府網路、宗教機構、科技和製造業公司，以及眾多中小型企業。這種廣泛的攻擊範圍顯示該組織採取了無差別的入侵策略。

攻擊手法與特點

Ghost組織主要針對具有未修補漏洞的網際網路服務進行攻擊。他們特別關注Fortinet安全設備中的漏洞（CVE-2018-13379）、Adobe ColdFusion網頁應用程式伺服器漏洞，以及Microsoft Exchange伺服器中的ProxyShell漏洞鏈。這些漏洞包括CVE-2021-34473、CVE-2021-34523和CVE-2021-31207在內的多個安全漏洞。

值得注意的是，該組織行動快速，通常只在受害者網路中停留數天。在多起案例中，他們能夠在同一天內完成從初始入侵到部署勒索軟體的整個攻擊流程。攻擊者使用常見的駭客工具，如Cobalt Strike和Mimikatz，其惡意軟體通常以Cring.exe、Ghost.exe、ElysiumO.exe和Locker.exe等檔名出現。

專家建議組織應當定期進行系統備份並確保備份儲存在離線位置，及時修補作業系統、軟體和韌體漏洞，特別關注Ghost勒索軟體組織常見的目標漏洞。此外，實施網路分段以限制受感染設備的橫向移動，並為所有特權帳戶和電子郵件服務帳戶強制執行防釣魚的多因素認證（MFA）同樣重要。

勒索特徵與新興威脅

Ghost組織以金錢利益為目標，勒索金額可能高達數十萬美元。安全研究人員指出，該組織經常輪換其惡意軟體執行檔、更改加密檔案的副檔名、修改勒索信內容，並使用多個電子郵件地址進行勒索溝通。當遇到具有適當網路分段等強化安全措施的系統時，Ghost組織往往會轉向其他目標。

與此同時，新興的BlackLock勒索軟體也正迅速崛起。根據最新研究報告，BlackLock自去年三月出現以來，在去年第四季度的活動增長了1,425%，成為第七大最活躍的勒索軟體組織。Reliaquest研究人員表示，BlackLock採用了雙重勒索策略，其專有惡意軟體可以攻擊Windows、VMware ESXi和Linux系統。該組織通過俄羅斯網路犯罪論壇RAMP招募成員，並建立了自己的洩露網站以加快勒索付款進程，這使得受害組織難以進行完整的事件調查和評估。