Ciberseguridad 360 | GhostSec y Stormous lanzan ataques conjuntos de ransomware en más de 15 países

El grupo de hackers llamado GhostSec ha sido vinculado a una variante Golang de una familia de ransomware llamada GhostLocker.

"Los grupos de ransomware GhostSec y Stormous est�n llevando a cabo conjuntamente ataques de ransomware de doble extorsi�n en varias verticales de negocios en m�ltiples pa�ses", dijo el investigador de Cisco Talos Chetan Raghuprasad en un informe compartido con The Hacker News.

"GhostLocker y Stormous ransomware han iniciado un nuevo programa de ransomware-as-a-service (RaaS) STMX_GhostLocker, proporcionando varias opciones para sus afiliados".

Los ataques del grupo se han dirigido a v�ctimas de Cuba, Argentina, Polonia, China, L�bano, Israel, Uzbekist�n, India, Sud�frica, Brasil, Marruecos, Qatar, Turqu�a, Egipto, Vietnam, Tailandia e Indonesia.

Algunos de los sectores m�s afectados son la tecnolog�a, la educaci�n, la industria manufacturera, la administraci�n p�blica, el transporte, la energ�a, el sector m�dico-legal, el sector inmobiliario y las telecomunicaciones.

GhostSec -que no debe confundirse con Ghost Security Group (que tambi�n se llama GhostSec)- forma parte de una coalici�n llamada The Five Families, que tambi�n incluye a ThreatSec, Stormous, Blackforums y SiegedSec.

Se form� en agosto de 2023 para "establecer una mejor unidad y conexiones para todos en el mundo clandestino de Internet, para expandir y hacer crecer nuestro trabajo y operaciones."

A finales del a�o pasado, el grupo de hackers se aventur� en el ransomware como servicio (RaaS) con GhostLocker, ofreci�ndolo a otros actores por 269,99 d�lares al mes. Poco despu�s, el grupo Stormous anunci� que utilizar�a ransomware basado en Python en sus ataques.

Los �ltimos hallazgos de Talos muestran que los dos grupos se han unido no solo para atacar una amplia gama de sectores, sino tambi�n para desatar una versi�n actualizada de GhostLocker en noviembre de 2023, as� como para iniciar un nuevo programa RaaS en 2024 llamado STMX_GhostLocker.

"El nuevo programa se compone de tres categor�as de servicios para los afiliados: de pago, gratuitos, y otra para los particulares sin programa que s�lo quieren vender o publicar datos en su blog (servicio PYV)", explic� Raghuprasad.

STMX_GhostLocker, que cuenta con su propio sitio de filtraciones en la dark web, enumera nada menos que seis v�ctimas de India, Uzbekist�n, Indonesia, Polonia, Tailandia y Argentina.

GhostLocker 2.0 (tambi�n conocido como GhostLocker V2) est� escrito en Go y se anuncia como totalmente eficaz y con r�pidas capacidades de cifrado y descifrado. Tambi�n viene con una nota de rescate renovada que insta a las v�ctimas a ponerse en contacto con ellos en un plazo de siete d�as o se arriesgan a que se filtren sus datos robados.

El esquema RaaS tambi�n permite a los afiliados hacer un seguimiento de sus operaciones, controlar el estado del cifrado y los pagos a trav�s de un panel web. Tambi�n se les proporciona un constructor que permite configurar la carga �til del casillero seg�n sus preferencias, incluidos los directorios a cifrar y los procesos y servicios que deben cerrarse antes de iniciar el proceso de cifrado.

Una vez desplegado, el ransomware establece conexi�n con un panel de mando y control (C2) y procede con la rutina de cifrado, no sin antes matar los procesos o servicios definidos y exfiltrar los archivos que coincidan con una lista espec�fica de extensiones.

Talos dijo que descubri� dos nuevas herramientas probablemente utilizadas por GhostSec para comprometer sitios leg�timos. Una de ellas es el 'GhostSec Deep Scan toolset' para escanear sitios web leg�timos de forma recursiva, y la otra es una herramienta de hacking para realizar ataques cross-site scripting (XSS) llamada "GhostPresser", dijo Raghuprasad.

GhostPresser est� dise�ado principalmente para penetrar en sitios de WordPress, lo que permite a los autores de la amenaza alterar la configuraci�n del sitio, a�adir nuevos plugins y usuarios, e incluso instalar nuevos temas, lo que demuestra el compromiso de GhostSec con la evoluci�n de su arsenal.

"El propio grupo ha afirmado que lo ha utilizado en ataques a v�ctimas, pero no tenemos forma de validar ninguna de esas afirmaciones. Esta herramienta probablemente ser�a utilizada por los operadores de ransomware por una variedad de razones", dijo Talos a The Hacker News.

"La herramienta de escaneo profundo podr�a aprovecharse para buscar formas de entrar en las redes de las v�ctimas y la herramienta GhostPresser, adem�s de comprometer los sitios web de las v�ctimas, podr�a utilizarse para preparar cargas �tiles para su distribuci�n, si no quisieran utilizar la infraestructura de los actores."

Fuente: thehackernews