En el oscuro mundo cibernético, GhostSec, un astuto grupo de cibercriminales, ha sido vinculado a una variante Golang de ransomware conocida como GhostLocker. En una alianza poco santa, GhostSec y Stormous están llevando a cabo ataques de doble extorsión en diversos sectores y países, según el informe del investigador de Cisco Talos, Chetan Raghuprasad.
El programa de ransomware como servicio (RaaS) STMX_GhostLocker ha sido el último producto de esta unión malévola, ofreciendo opciones variadas a sus cómplices. Los ataques se han dirigido a diversas naciones, incluyendo Cuba, Argentina, Polonia, China, Líbano, Israel, Uzbekistán, India, Sudáfrica, Brasil, Marruecos, Qatar, Turquía, Egipto, Vietnam, Tailandia e Indonesia.
Las verticales comerciales más afectadas abarcan tecnología, educación, manufactura, gobierno, transporte, energía, medicolegal, bienes raíces y telecomunicaciones. GhostSec forma parte de la coalición The Five Families, junto con ThreatSec, Stormous, Blackforums y SiegedSec, consolidándose en agosto de 2023 para fortalecer sus conexiones en el submundo de Internet.
En un giro inquietante, GhostSec incursionó en el ransomware como servicio (RaaS) el año pasado con GhostLocker, ofreciéndolo por $269.99 al mes. Pronto, Stormous anunció el uso de ransomware basado en Python. Los últimos descubrimientos de Talos revelan que ambos grupos han unido fuerzas para lanzar GhostLocker 2.0 en noviembre de 2023 y un nuevo programa RaaS en 2024 llamado STMX_GhostLocker.
Este último programa ofrece servicios de pago, gratuitos y un servicio PYV para aquellos que solo desean vender o publicar datos. El sitio de filtración en la web oscura de STMX_GhostLocker enumera al menos seis víctimas, abarcando India, Uzbekistán, Indonesia, Polonia, Tailandia y Argentina.
GhostLocker 2.0, escrito en Go, presume de ser altamente efectivo, con capacidades rápidas de cifrado/descifrado. Su nota de rescate renovada advierte a las víctimas que se comuniquen en siete días o arriesguen la filtración de sus datos. El esquema RaaS permite a los afiliados rastrear operaciones, monitorear el cifrado y pagos, con un constructor que personaliza la carga útil del casillero.
Este ransomware establece conexión con un panel de control y continúa con el cifrado, eliminando procesos y servicios específicos, así como filtrando archivos con extensiones específicas. La oscura danza de GhostSec y Stormous parece no tener límites en su búsqueda de caos digital.
Talos reveló el descubrimiento de dos nuevas herramientas que parecen ser empleadas por el infame GhostSec para infiltrar sitios legítimos. Chetan Raghuprasad detalló que una de ellas es la “Herramienta de Exploración Profunda GhostSec”, diseñada para escanear de manera recursiva sitios web legítimos. La segunda, llamada “GhostPresser”, es una herramienta de hackeo especializada en realizar ataques de secuencias de comandos entre sitios (XSS).
GhostPresser se centra en penetrar sitios de WordPress, otorgando a los actores de amenazas la capacidad de modificar la configuración del sitio, añadir nuevos complementos y usuarios, e incluso instalar temas frescos. Este desarrollo subraya el compromiso de GhostSec con la mejora constante de su arsenal, adaptándose a las exigencias del ciberespacio.
Raghuprasad indicó: “El grupo ha afirmado su utilización en ataques a víctimas, aunque carecemos de medios para verificar dichas declaraciones. Esta herramienta podría ser empleada por los operadores de ransomware por diversas razones”. El experto sugiere que la herramienta de escaneo profundo podría ser aprovechada para explorar vías de acceso a las redes de las víctimas. Por otro lado, GhostPresser, además de comprometer los sitios web de las víctimas, podría ser utilizada para preparar cargas útiles destinadas a su distribución, evitando así la infraestructura del actor.
Las sombras cibernéticas de GhostSec se extienden con estas herramientas, aumentando su capacidad para infiltrarse y desencadenar caos digital.