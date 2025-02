L’FBI ha da poco emanato un avvertimento che ha l’obiettivo di mettere in guardia tutti gli utenti da un pericoloso e nuovo attacco ransomware. Questa nuova minaccia sta mettendo in pericolo i dispositivi mobili di tutti. Questo nuovo attacco, chiamato Ghost, è in grado di colpite qualsiasi smartphone e al momento è stato efficace in 70 Paesi di tutto il mondo.

“Il Federal Bureau of Investigation (FBI), l’Agenzia per la Cybersicurezza e la Sicurezza delle Infrastrutture (CISA) e il Centro di Condivisione e Analisi delle Informazioni Multi-Stato (MS-ISAC) stanno rilasciando questo avviso congiunto per diffondere gli indicatori di compromissione (IOC) e le tattiche, tecniche e procedure (TTP) noti del ransomware Ghost (Cring) – (“Ghost”) – identificati attraverso le indagini dell’FBI fino a gennaio 2025″, si legge nella nota ufficiale.

Secondo quanto dichiarato dagli esperti dell’FBI in cybersecurity, gli attori di queste minacce lavorano dalla Cina e hanno molti nomi diversi, anche se Ghost sembra essere quello più utilizzato: Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada e Rapture, sono solo alcuni di questi nomi.

I ricercatori, spiegando il metodo di attacco di questo nuovo ransomware, hanno dichiarato: “L’FBI ha osservato che gli attori di Ghost ottengono l’accesso iniziale alle reti sfruttando applicazioni rivolte al pubblico che sono associate a molteplici vulnerabilità ed esposizioni comuni. La loro metodologia include lo sfruttamento delle vulnerabilità nelle appliance Fortinet FortiOS, server che eseguono Adobe ColdFusion, Microsoft SharePoint e Microsoft Exchange, comunemente indicati come catena di attacco ProxyShell”.

I CVE sfruttati dalle campagne ransomware Ghost

L’FBI ha rilevato diversi CVE che sono stati sfruttati dalle campagne del nuovo ransimware Ghost. Ecco l’elenco completo:

CVE-2009-3960

CVE-2010-2861

CVE-2018-13379

CVE-2019-0604

CVE-2021-31207

CVE-2021-34473

CVE-2021-34523

“Gli attori fantasma spesso si affidano alle funzioni Cobalt Strike integrate per rubare i token di processo in esecuzione nel contesto dell’utente SYSTEM per impersonare l’utente SYSTEM. Spesso allo scopo di eseguire Beacon una seconda volta con privilegi elevati”, ha spiegato l’FBI. Il pericolo è quello di imbattersi in furto di identità e informazioni sensibili.

Proteggersi da questo attacco ransomware è fondamentale. Il consiglio degli esperti è quello di aggiornare costantemente i propri dispositivi installando gli ultimi aggiornamenti di sistemi operativi, applicazioni, browser e antivirus.