De cybercriminaliteitsgroep GhostSec is in verband gebracht met een Golang-variant van een ransomware-familie genaamd GhostLocker.
“TheGhostSec en Stormous ransomware-groepen voeren gezamenlijk dubbele afpersing-ransomware-aanvallen uit op verschillende zakelijke branches in meerdere landen”, zei Cisco Talos-onderzoeker Chetan Raghuprasad in een rapport gedeeld met The Hacker News.
“GhostLocker en Stormous ransomware zijn een nieuw ransomware-as-a-service (RaaS) programma gestart STMX_GhostLocker, dat verschillende opties biedt voor hun aangesloten bedrijven.”
Aanvallen van de groep waren gericht op slachtoffers in Cuba, Argentinië, Polen, China, Libanon, Israël, Oezbekistan, India, Zuid-Afrika, Brazilië, Marokko, Qatar, Turkiye, Egypte, Vietnam, Thailand en Indonesië.
Enkele van de meest getroffen bedrijfssectoren zijn technologie, onderwijs, productie, overheid, transport, energie, medisch recht, onroerend goed en telecom.
GhostSec – niet te verwarren met Ghost Security Group (ook wel GhostSec genoemd) – maakt deel uit van een coalitie genaamd The Five Families, waartoe ook ThreatSec, Stormous, Blackforums en SiegedSec behoren.
Het werd in augustus 2023 opgericht om “een betere eenheid en verbindingen tot stand te brengen voor iedereen in de ondergrondse wereld van het internet, om ons werk en onze activiteiten uit te breiden en te laten groeien.”
Eind vorig jaar waagde de cybercriminaliteitsgroep zich met GhostLocker aan ransomware-as-a-service (RaaS) en bood het aan andere actoren aan voor $ 269,99 per maand. Kort daarna kondigde de Stormous-ransomwaregroep aan dat het op Python gebaseerde ransomware zal gebruiken bij zijn aanvallen.
De laatste bevindingen van Talos laten zien dat de twee groepen de handen ineen hebben geslagen om niet alleen een breed scala aan sectoren aan te vallen, maar ook om in november 2023 een bijgewerkte versie van GhostLocker uit te brengen en om in 2024 een nieuw RaaS-programma te starten genaamd STMX_GhostLocker.
“Het nieuwe programma bestaat uit drie categorieën diensten voor de aangesloten bedrijven: betaald, gratis en een andere voor de individuen zonder programma die alleen gegevens willen verkopen of publiceren op hun blog (PYV-service)”, legt Raghuprasad uit.
STMX_GhostLocker, dat wordt geleverd met een eigen leksite op het dark web, vermeldt maar liefst zes slachtoffers uit India, Oezbekistan, Indonesië, Polen, Thailand en Argentinië.
GhostLocker 2.0 (ook bekend als GhostLocker V2) is geschreven in Go en wordt geadverteerd als volledig effectief en biedt snelle coderings-/decoderingsmogelijkheden. Het wordt ook geleverd met een vernieuwd losgeldbriefje waarin slachtoffers worden aangespoord om binnen zeven dagen contact met hen op te nemen, anders lopen ze het risico dat hun gestolen gegevens lekken.
Met het RaaS-schema kunnen aangesloten bedrijven ook hun activiteiten volgen, de coderingsstatus en betalingen controleren via een webpaneel. Ze zijn ook voorzien van een builder die het mogelijk maakt om de payload van de locker te configureren volgens hun voorkeuren, inclusief de mappen die moeten worden gecodeerd en de processen en services die moeten worden beëindigd voordat het coderingsproces begint.
Eenmaal ingezet, brengt de ransomware verbinding tot stand met een command-and-control (C2)-paneel en gaat verder met de versleutelingsroutine, maar niet voordat de gedefinieerde processen of services zijn beëindigd en bestanden zijn geëxfiltreerd die overeenkomen met een specifieke lijst met extensies.
Talos zei dat het twee nieuwe tools heeft ontdekt die waarschijnlijk door GhostSec worden gebruikt om legitieme sites te compromitteren. “Een daarvan is de ‘GhostSec Deep Scan-toolset’ om legitieme websites recursief te scannen, en een andere is een hacktool om cross-site scripting (XSS)-aanvallen uit te voeren, genaamd ‘GhostPresser”, zei Raghuprasad.
GhostPresser is voornamelijk ontworpen om in te breken in WordPress-sites, waardoor de bedreigingsactoren de site-instellingen kunnen wijzigen, nieuwe plug-ins en gebruikers kunnen toevoegen en zelfs nieuwe thema’s kunnen installeren, wat de toewijding van GhostSec aantoont om zijn arsenaal te ontwikkelen.
“De groep heeft zelf beweerd dat ze het hebben gebruikt bij aanvallen op slachtoffers, maar we hebben geen enkele manier om deze beweringen te valideren. Deze tool zou waarschijnlijk om verschillende redenen door de ransomware-exploitanten worden gebruikt”, vertelde Talos. Het hackernieuws.
“De deep scan tool zou gebruikt kunnen worden om te zoeken naar manieren om in slachtoffernetwerken te komen en de GhostPresser tool zou, naast het compromitteren van websites van slachtoffers, gebruikt kunnen worden om payloads klaar te maken voor distributie, als ze geen gebruik willen maken van de infrastructuur van actoren.”
