- Nhà nghiên cứu Chetan Raghuprasad của Cisco Talos cho biết: “Các nhóm ransomware TheGhostSec và Stormous đang cùng nhau thực hiện các cuộc tấn công ransomware ở nhiều quốc gia khác nhau”.
“GhostLocker và Stormous đã bắt đầu chương trình ransomware-as-a-service (RaaS) mới có tên STMX_GhostLocker.”
Các cuộc tấn công do nhóm này tiến hành nhắm mục tiêu vào Cuba, Argentina, Ba Lan, Trung Quốc, Lebanon, Israel, Uzbekistan, Ấn Độ, Nam Phi, Brazil, Maroc, Qatar, Turkiye, Ai Cập, Việt Nam, Thái Lan và Indonesia. Một số lĩnh vực bị ảnh hưởng nhiều nhất bao gồm công nghệ, giáo dục, sản xuất, chính phủ, giao thông vận tải, năng lượng, pháp lý y tế, bất động sản và viễn thông.
GhostSec - khác với Ghost Security Group (còn được gọi là GhostSec) - là một phần của nhóm liên minh có tên The Five Families được thành lập vào tháng 8 năm 2023, bao gồm ThreatSec, Stormous, Blackforums và SiegedSec.
Cuối năm ngoái, nhóm tội phạm mạng đã cung cấp dịch vụ ransomware GhostLocker cho các tác nhân đe dọa khác với giá 269,99 USD mỗi tháng. Ngay sau đó, nhóm Stormous đã thông báo rằng họ sẽ sử dụng ransomware này trong các cuộc tấn công của mình.
Phát hiện mới nhất từ Talos cho thấy hai nhóm đã liên kết với nhau để không chỉ tấn công ở nhiều lĩnh vực mà còn tạo ra bản cập nhật của GhostLocker vào tháng 11 năm 2023 cũng như bắt đầu chương trình RaaS mới vào năm 2024 có tên STMX_GhostLocker.
Trang web của STMX_GhostLocker liệt kê ít nhất sáu nạn nhân đến từ Ấn Độ, Uzbekistan, Indonesia, Ba Lan, Thái Lan và Argentina.
GhostLocker 2.0 (GhostLocker V2) được viết bằng Go, để lại thông báo đòi tiền chuộc yêu cầu nạn nhân liên hệ với họ trong vòng bảy ngày nếu không dữ liệu bị đánh cắp của họ bị rò rỉ.
Sau khi được triển khai, ransomware sẽ thiết lập kết nối với máy chủ kiểm soát tấn công và tiến hành mã hóa sau khi dừng các tiến trình hoặc dịch vụ đã xác định và trích xuất các tệp bị nhắm mục tiêu.
Talos cho biết họ cũng phát hiện ra hai công cụ mới có thể được GhostSec sử dụng để xâm phạm các trang web hợp pháp. Một trong số đó là 'Bộ công cụ GhostSec Deep Scan' được dùng để quét các trang web hợp pháp và một công cụ khác dùng để thực hiện các cuộc tấn công XSS được gọi là "GhostPresser".
GhostPresser được thiết kế để nhắm mục tiêu chủ yếu vào các trang web WordPress, cho phép kẻ đe dọa thay đổi cài đặt trang, thêm plugin và người dùng mới, hoặc cài đặt các theme mới.
“Công cụ Deep Scan có thể được dùng để tìm cách xâm phạm mạng mục tiêu và công cụ GhostPresser, ngoài việc xâm phạm các trang web của nạn nhân, có thể được sử dụng để triển khai các payload bổ sung khác”.
PV (thehackernews.com/tinnhiemmang.vn)