El grupo malicioso conocido como GhostSec ha sido vinculado a la variante de una familia de Ransomware llamada GhostLocker.

Chetan Raghuprasad (Cisco Talos):

TheGhostSec y Stormous están perpetrando ataques de Ransomware de doble extorsión en diversas industrias y países.

Las industrias más afectadas por estos ataques incluyen tecnología, educación, manufactura, gobierno, transporte, energía, medicina legal, bienes raíces y telecomunicaciones. Han apuntado a víctimas en varios países, incluyendo Argentina, Brasil, Polonia, China, Líbano, Israel, Uzbekistán, India, Sudáfrica, Marruecos, Qatar, Turquía, Egipto, Vietnam, Tailandia e Indonesia.

GhostSec es parte de una coalición llamada The Five Families, que también incluye a ThreatSec, Stormous, Blackforums y SiegedSec.

Los últimos descubrimientos de Talos indican que ambos grupos se han unido para atacar diversos sectores y lanzar una versión actualizada de GhostLocker en noviembre de 2023. Además, iniciaron un nuevo programa RaaS en 2024 llamado STMX_GhostLocker.

STMX_GhostLocker se presenta como altamente efectivo, con capacidades de cifrado y descifrado rápidos. Además, incluye una nota de rescate que establece un plazo de siete días para que las víctimas se pongan en contacto antes de que se filtren sus datos sustraídos. También cuenta con su propio sitio de filtraciones en la dark web y ha afectado a múltiples víctimas en Argentina, India, Uzbekistán, Indonesia, Polonia y Tailandia.

Esquema RaaS:

  • Ofrece herramientas para monitorizar operaciones, estado de cifrado y pagos a través de un panel web.
  • Permite configurar la carga útil del ransomware: procesos a terminar, directorios a cifrar, etc.
  • Tras la activación, se conecta a un panel C2 (Comando y Control), cifra archivos y extrae archivos específicos.

Herramientas de GhostSec:

  • GhostSec Deep Scan: escanea sitios web legítimos buscando vulnerabilidades.
  • GhostPresser: (ataques XSS) herramienta para comprometer sitios web y preparar cargas útiles para su distribución.
  • En sitios vulnerados permite modificar configuración, agregar usuarios y temas, e instalar nuevos temas.

Fuente:

Alert: GhostSec and Stormous Launch Joint Ransomware Attacks in Over 15 Countries

The Five Families: Hacker Collaboration Redefining the Game