GhostSec 是五家族
的重要成员 ,在最近与另一个五家族附属威胁组织
Stormous
发生双重勒索软件攻击后,最新研究引起了广泛关注
。
研究人员和该组织本身声称,该组织最初据称与“匿名者”组织有联系,通常被认为是治安黑客,该组织承担了打击互联网上极端主义内容和活动的责任,在
ISIS
刚出现时就明确针对该组织。
GhostSec 的 Telegram 徽标之一
该组织仍然坚持其运营,制作自己的工具,在暗网上提供教程,并从事各种其他活动。尽管如此,问题仍然存在:GhostSec 主要是一个
黑客行动
团体、一个具有威胁性的威胁组织,还是渴望转变为一个勒索软件实体?
GhostSec 是谁
GhostSec 诞生于 2015 年,据称是著名黑客组织
Anonymous
的残余势力,与前身相比,GhostSec 有着明显的侧重点。
虽然 Anonymous 参与了各种行动,但 GhostSec 的主要目标是打击网络恐怖主义和暴力极端主义。
凭借一支由黑客和“网络安全”爱好者组成的熟练团队,他们很快因其对抗在线极端主义团体的非正统方法而获得认可。
该组织甚至
声称
,其部分成员在当年与美国政府的一次所谓的会议期间受雇于政府机构。
正如他们所说,GhostSec 的最初任务围绕着一个有点模糊的目标,即破坏 ISIS(伊拉克和叙利亚伊斯兰国)和基地组织等恐怖组织的在线存在和通信。然而,虽然该组织最初在
以色列与哈马斯的冲突
中表现出中立,但后来他们宣布支持巴勒斯坦,反对他们认为以色列犯下的战争罪行。
由于近期媒体关注,GhostSec也发布了一段自我介绍视频
他们的策略包括识别与极端主义团体相关的社交媒体帐户、网站和在线平台,然后发起精确的网络攻击,使它们下线。据称,GhostSec使用各种黑客技术,从分布式拒绝服务 (
DDoS
) 攻击到篡改和数据泄露,试图破坏这些组织的宣传工作。
因此,他们从不回避网络犯罪活动,并在 Telegram 频道上分享他们的广告,例如初始访问销售。
GhostSec 最近的首次访问销售
此外,尽管他们的意图崇高,但他们还开发了模块化勒索软件,他们可能会将其出售给任何人。
GhostSec
2023 年 10 月,GhostSec 首次受到监测,推出了新一代
勒索软件即服务 (RaaS)
模型,称为
GhostLocker
,将其视为专为“企业”使用量身定制的革命性加密软件解决方案。根据他们的营销,GhostLocker 经过了详细的改进,为潜在客户提供了一系列有吸引力的功能。这些功能包括运行时的军用级加密以及完全隐秘性的保证。此外,他们在成功违规后提供协商管理服务,这将 GhostLocker 与其他 RaaS 竞争对手区分开来。
GhostLocker 用 Golang 编写,当前 v2 的售价为 1,199 美元,该组织表示将继续在 V3 上工作,而且价格也会上涨。GhostSec 发布了一段概念验证视频,展示了他们的定制恶意软件如何加密数据并逃避防病毒软件的检测。对于这种“高贵的勒索软件”来说,被研究和媒体重新带回聚光灯下无疑是一个很好的广告机会。
GhostLocker 勒索信
GhostLocker 联系面板
双勒索软件操作
思科的最新研究强调了一些要点,Talos 观察到黑客组织 GhostSec 造成的恶意活动显着增加。该组织经历了重大演变,推出了名为 GhostLocker 2.0 的勒索软件新版本,它是原始 GhostLocker 勒索软件的 Golang 变体。
此外,GhostSec 和另一个名为 Stormous 的组织联手对多个国家的各个业务部门实施双重勒索勒索软件攻击。
此次合作导致建立了一个名为STMX_GhostLocker
的新勒索软件即服务 (RaaS) 计划
,为其附属机构提供一系列选项。
此外,Talos 在 GhostSec 的武器库中发现了两个新工具:“GhostSec 深度扫描工具”和“GhostPresser”。这些工具很可能被用于针对网站的攻击,从而增强了该组织的能力和渗透方法。
根据我们的监控,各种新闻媒体都在传播不准确的信息,过时的指控表明 GhostSec 与 Stormous 组织的合作是最近的事态发展。GhostSec 至少从 2023 年下半年开始就
与 Stormous 合作。思科 Talos 还表示,他们在这一年中观察到了这些活动。
然而,根据我们的
研究
,这种合作的痕迹甚至可以延续到2022年。
在“五大家族”黑客集体的保护下,ThreatSec、GhostSec、Storous、Blackforums 和
SiegedSec
最初形成了一个类似于黑手党家族结构的有凝聚力的五人联盟。然而,SiegedSec 可能因他们的行为而被驱逐出集体,导致该团体由四个实体组成。尽管可能发生这种变化,这些威胁团体有着长期的相互支持和合作的历史。
五家族关于 SiegedSec 的声明
攻击目标
根据 Talos 对这些组织的 Telegram 频道和 Stormous 勒索软件数据泄露网站上发布的披露消息的分析,GhostSec 和 Stormous 勒索软件组织已被发现合作执行大量双重勒索攻击。这些攻击涉及利用 GhostLocker 和 StormousX 勒索软件程序针对不同国家的受害者,包括古巴、阿根廷、波兰、中国、黎巴嫩、以色列、乌兹别克斯坦、印度、南非、巴西、摩洛哥、卡塔尔、土耳其、埃及、越南、泰国、印度
根据这些团体在其 Telegram 频道上分享的信息,此次合作行动针对的是不同行业的受害者。
GhostSec 和 Stormous 组织 (
Talos
)受影响的行业
尽管 Talos 的研究忽略了这些团体的集体受害者情况,但 Stormous 还运营了一个数据泄露网站,该网站从事受害者共享,与 GhostSec 不同,并将这些网站纳入框架中以查看完整情况,提供当前和未来的威胁覆盖范围。
受风暴影响的国家
与共同的受害者学相反,如果我们根据 SOCRadar 的数据来看 Stormous 的活动,我们必须说美国和欧洲国家在受害者选择方面表现突出。
Stormous 的目标行业
尽管目标行业的情况更加接近,但我们必须说,威胁超出了特定行业。特别是,尽管 GhostLocker 所谓的规则不针对教育和医疗保健等敏感行业,但 Stormous 过去曾攻击过这些行业。
他们还为这两个勒索软件操作提供了一个新平台。直到最近,GhostSec 还没有一个羞辱受害者的数据泄露网站。正如 Talos 所说,Stormous 勒索软件和 GhostSec 在 TOR 网络上建立了其勒索软件即服务 (RaaS) 计划 GhostLocker 的官方博客。该博客为附属机构提供了注册其计划并披露受害者数据的功能。它的仪表板显示受害者的统计和受害者信息的披露,以及泄露数据的链接。
作案手法
根据 Talos 的研究,GhostLocker 2.0 的工作原理是使用“.ghost”文件扩展名加密受害者计算机上的文件,并提供新版本的勒索字条。此更新的说明建议用户保护其中显示的加密 ID,并在协商过程中通过单击“单击我”通过聊天服务共享它。此外,运营商警告说,如果在 7 天内未能联系他们,将导致受害者被盗数据的泄露。
此外,GhostLocker RaaS 还为附属机构提供了访问控制面板的权限,他们可以在其中监督自己的攻击和收益。一旦部署在受害者的计算机上,勒索软件二进制文件就会连接到控制面板,从而允许附属机构监控
加密
进度。Talos 已识别出位于俄罗斯莫斯科的 GhostLocker 2.0 C2 服务器,其地理位置与 Uptycs 安全研究人员报告的勒索软件之前版本一致。
GhostLocker RaaS 的附属公司提供勒索软件构建器面板,授予配置选项,例如持久模式、加密目标目录以及绕过检测的规避技术,包括终止进程、服务或计划任务。
GhostLocker 2.0 于 2023 年 11 月 15 日被 Talos 在野外发现(一个月前已出售并做广告)。GhostLocker 2.0 与用 Python 编写的前身 GhostLocker 功能相似,不同之处在于省略了用于启动勒索软件二进制文件的看门狗组件,并采用 128 位 AES 加密而不是 256 位。
GhostLocker的持久化机制(Talos)
执行后,GhostLocker 2.0 通过将自身复制到 Windows 启动文件夹来建立持久性,并生成随机文件名。随后,它连接到 C2 服务器,生成加密密钥,并收集受害者信息以创建发送到控制面板的 JSON 文件。
启动与C2(Talos)连接的功能
在注册受害者的感染后,GhostLocker 2.0 尝试通过终止其配置中定义的进程或计划任务来逃避检测。
然后,它根据预定义的扩展名搜索目标文件,将它们渗透到 C2 服务器,并对它们进行加密,并附加“
.ghost
”扩展名。
最后,勒索软件会在受害者的桌面上投放勒索字条,并使用 Windows“开始”命令启动它。
结论
对 GhostSec 活动的审查,特别是与 Stormous 的合作,揭示了该组织的演变及其对复杂网络行动的参与。尽管 GhostSec 起源于黑客组织 Anonymous,但它们已转向更加隐蔽的活动,包括勒索软件操作以及与其他威胁组织的合作。他们开发的 GhostLocker 2.0 和即将推出的 3.0 版本等工具展示了他们的适应性和技术实力,凸显了网络安全领域正在进行的军备竞赛。
GhostSec 和 Stormous 在双重勒索勒索软件攻击中的合作表明了威胁行为者的融合以及网络威胁日益复杂的情况。GhostLocker-Stormous RaaS 计划在 TOR 网络上的建立进一步凸显了该集团扩大业务和货币化能力的努力,以及这两个实体未来可能完全合并
然而,在他们的活动中,GhostSec 的身份和动机仍然存在疑问。他们仍然受到黑客行动主义理想的驱动,还是完全接受网络犯罪活动?我们认为答案是明确的,但是,黑客行动主义和网络犯罪之间的模糊界限引起了人们对该组织的道德立场及其行为对全球个人和组织的潜在影响的担忧。
缓解策略:防御勒索软件
