Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten der Ransomware-Bande Ghost veröffentlicht. Darin bündeln sie Erkenntnisse aus Untersuchungen von Cybervorfällen.
Anzeige
In der Sicherheitsmitteilung schreiben die Behörden, dass die kriminellen Machenschaften von Ghost Anfang 2021 starteten. Sie attackieren seitdem im Internet erreichbare Dienste, die auf veraltete Versionen der Software oder Firmware setzen. Dabei haben Sie Einrichtungen in mehr als 70 Ländern kompromittiert – auch in China. Dort verorten die Autoren auch den Sitz der Bandenmitglieder. Ihre Angriffe dienten der finanziellen Bereicherung.
Die betroffenen Opfer stammten aus diversen Bereichen: Kritische Infrastruktur (KRITIS), Schulen und Universitäten, Gesundheitswesen, Regierungsnetzwerke, religiöse Einrichtungen, Firmen aus Technik und Produktion sowie zahlreiche kleine und mittlere Unternehmen. Die Ghost-Bandenmitglieder sind äußerst agil. Sie wechseln die ausführbare Payload, ändern Datei-Suffixe für verschlüsselte Dateien, modifizieren die Erpresserbotschaften und nutzen diverse Erpresser-E-Mail-Adressen. Das führte im Laufe der Zeit zu diversen unterschiedlichen Namen für ein und dieselbe Gruppe, etwa Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture.
Gleichzeitig sind die Ghost-Täter auch etwas faul. Sie arbeiten offenbar nicht selbst an Exploits für Schwachstellen, sondern bedienen sich einfach an öffentlich verfügbarem Exploit-Code für Sicherheitslücken, die sehr veraltete Software auf Server im Internet zum Ziel haben. Die Autoren haben Angriffe von Ghost auf Sicherheitslücken in Fortinet FortiOS (CVE-2018-13379), Server mit Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960), Microsoft SharePoint (CVE-2019-0604) sowie Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207, die Verkettung ist auch als "ProxyShell" bekannt) beobachtet, also teils mehr als 15 Jahre alte Schwachstellen.
Einmal in die verwundbaren Systeme eingedrungen, platziert Ghost Webshells und verankert Cobalt Strike-Beacons. Großen Wert auf Persistenz legt die kriminelle Bande demnach aber nicht, sie verbringen nur wenige Tage in den Netzen der Opfer. Sporadisch habe sie jedoch neue lokale und Domänen-Konten angelegt sowie Passwörter bestehender Zugänge geändert. Das Cobalt-Strike-Tool missbrauchen die Angreifer oftmals auch zur Ausweitung ihrer Rechte. Aber auch weitere Open-Source-Tools haben sie dazu eingesetzt, die US-Behörden nennen etwa "SharpZeroLogon", "SharpGPPPass", "BadPotato" und "GodPotato".
Ebenfalls mit Cobalt Strike listen die Täter die laufenden Prozesse auf und suchen nach eingesetzter Antivirensoftware, um diese zu beenden. Sehr oft nutzten Ghost-Mitglieder Befehle, um Microsoft Defender auf mit dem Netzwerk verbundenen Geräten zu deaktivieren. Mit erhöhten Zugriffsrechten machen sich Bandenmitglieder auch weiter im Netzwerk auf; mittels WMIC (Windows Management Instrumentation Command-Line) lassen sie etwa Powershell-Befehle auf weiteren Systemen im Netzwerk der Opfer, etwa zur Installation weiterer Cobalt-Strike-Beacons laufen.
Am Ende behaupten die Angreifer, dass abkopierte Daten verkauft würden, wenn kein Lösegeld gezahlt werde. Allerdings würden die Ghost-Bandenmitglieder nicht oft Daten exfiltrieren, die signifikante Informationen oder Dateien mit IP (Intellectual Property) oder persönlich identifizierbarer Informationen (PII) enthalten. Das FBI habe nur begrenzt das Herunterladen von Daten auf Cobalt-Strike-Team-Server beobachtet. Es gebe wenige Berichte dazu, dass die Täter den Hosting-Dienst Mega.nz einsetzten. Der typische Datenumfang betrug demnach "weniger als hunderte Gigabytes".
Die Steuerung (Command and Control, C2) erfolgt bei Ghost, insbesondere mit Cobalt-Strike-Beacons und Cobalt-Strike-Team-Servern. Die Bande mache sich nur selten die Mühe, Domains für ihre C2-Server zu registrieren, sondern verbindet direkt auf IP-URIs. Als Mail-Dienstleister setzen sie in der Regel etwa auf Tutanota, Skiff, ProtonMail, Onionmail und Mailfence. Zum Verschlüsseln der Daten in den Opfer-Netzwerken nutzt Ghost die Dateien Cring.exe, Ghost.exe, ElysiumO.exe und Locker.exe. Die löschen auch gleich die Windows-Ereignisprotokolle, Schattenkopien und deaktivieren den Volumenschattenkopie-Dienst, um eine Wiederherstellung der Daten zu erschweren.
Die US-Behörden listen in ihrer Analyse noch Indizien für Infektionen (Indicators of Compromise, IOCs) auf. Interessierte können damit prüfen, ob sie möglicherweise Opfer der Cybergang Ghost geworden sind.
(