CISA针对“幽灵”勒索软件团伙构成的威胁发布了警告，该团伙至少四年来一直在瞄准全球易受攻击的互联网服务。

　　该机构发布了一份咨询报告，重点阐述了最近于2025年1月通过联邦调查局（FBI）调查发现的该团伙的战术、技术和程序（TTPs）。

　　报告指出，自2021年初以来，该团伙一直在攻击那些互联网服务运行着过时软件和固件的实体。自此以来，该团伙已致使70多个国家的组织遭到破坏。

　　“受影响的受害者包括关键基础设施、学校和大学、医疗保健、政府网络、宗教机构、技术和制造公司以及众多中小企业，”咨询报告警告称。CISA指出，由于该团伙部署了广泛的TTPs，这导致其攻击归因各异。

　　该安全机构表示，该团伙经常更换其勒索软件的有效载荷、加密文件的文件扩展名、勒索邮件地址以及勒索信中的文本。这种多样化的战术导致该团伙有了多个名称，包括幽灵、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada和Rapture。

　　其中一些名称来源于该团伙部署的勒索软件文件的名称，如Cring.exe和Ghost.exe。

　　“幽灵”勒索软件组织极为高效

　　FBI观察到该团伙利用一系列面向公众的应用程序中的通用漏洞披露（CVE）来获取目标网络的初步访问权限。

　　“幽灵”威胁行动者已被追踪到瞄准FortiOS路径遍历漏洞（CVE-2018-13379）、Adobe ColdFusion中的两个漏洞（CVE-2010-2861和CVE-2009-3960）以及Microsoft Sharepoint中的一个漏洞（CVE-2019-0604）。

　　还观察到该威胁团伙利用一系列影响Microsoft Exchange的漏洞，这通常被称为ProxyShell攻击链（CVE-2021-34473、CVE-2021-34523和CVE-2021-31207）。一旦进入内部，他们通常会在被攻破的服务器上上传一个Web Shell，并下载Cobalt Strike Beacon恶意软件，该恶意软件可用于多种方式，如命令执行、键盘记录、文件传输、权限提升、防御规避和横向移动。

　　例如，该团伙经常利用Cobalt Strike功能窃取进程令牌来伪装成SYSTEM用户，以便以提升的权限重新运行Beacon。CISA指出，“幽灵”组织并不特别注重持久性，通常只在网络上停留几天——往往从初步访问到在同一天内投放勒索软件。该咨询报告包括了该团伙的所有指标（IOCs）、TTPs、勒索邮件地址、勒索信以及企业可以采取的避免遭到攻击的缓解措施清单。

　　这些措施包括保持定期的系统备份、修补互联网设备的已知漏洞、网络分段以限制横向移动、监控未经授权的PowerShell使用以及禁用未使用的端口以限制服务暴露。