Un grupo de ciberdelincuentes conocido como GhostSec ha sido identificado como responsable del desarrollo de un nuevo tipo de ransomware llamado GhostLocker, que está siendo utilizado en ataques de extorsión doble en múltiples países y en diversos sectores empresariales. La investigación de Cisco Talos ha revelado que los grupos GhostLocker y Stormous han unido fuerzas para realizar una amplia campaña de ransomware utilizando una versión actualizada de GhostLocker V2 y un nuevo programa RaaS llamado STMX_GhostLocker. Además, Talos ha encontrado un panel web que permite monitorear las operaciones y personalizar el cifrado para su afiliación.
La alianza de GhostSec con ThreatSec, Stormous, Blackforums y SiegedSec, conocida como Las Cinco Familias, fue creada en agosto de 2023 para fortalecer las conexiones en el mundo subterráneo de Internet y ampliar sus operaciones. GhostLocker V2 está escrito en Go y promocionado como efectivo y rápido en el cifrado/descifrado de archivos, mientras que el nuevo programa STMX_GhostLocker se compone de tres categorías diferentes de servicios para los afiliados. Hasta el momento, múltiples sectores y países han sido víctimas de los ataques de GhostSec, incluyendo tecnología, educación, energía y telecomunicaciones.
La investigación de Talos también ha identificado dos nuevas herramientas utilizadas por GhostSec: el conjunto de herramientas de análisis profundo GhostSec y una herramienta de hackeo llamada GhostPresser, utilizada para atacar sitios web de WordPress. GhostPresser es capaz de alterar la configuración del sitio, añadir nuevos plugins y usuarios, e incluso instalar nuevos temas a los sitios web comprometidos. Talos cree que estos recursos podrían ser utilizados por operadores de ransomware para buscar formas de ingresar en los sistemas de sus víctimas.
Vía The Hacker News