23.12.2025
2 хв
1
480
У статті розглядається нова активність угруповання GhostSec та поява GhostLocker 2.0 – сучасного ransomware, який поєднує шифрування даних і тиск на жертв через витоки інформації. Матеріал пояснює загальний контекст загрози, підхід зловмисників і чому ця кампанія привернула увагу аналітиків кібербезпеки, без розкриття технічних деталей наперед.
За останній рік активність хакерського угруповання GhostSec помітно зросла. Група еволюціонувала, представивши нову версію шифрувальника – GhostLocker 2.0. Це ransomware, написаний мовою Go, який став розвитком попередніх варіантів GhostLocker.
GhostSec діє не самостійно: разом з угрупованням Stormous вони проводять атаки за моделлю подвійного вимагання. Під час таких кампаній дані жертв не лише шифруються, але й викрадаються, щоб у подальшому тиснути на компанії загрозами публікації інформації. Атаки спрямовані на бізнес у різних галузях і країнах.
Крім того, GhostLocker і Stormous запустили спільну програму ransomware-as-a-service під назвою STMX_GhostLocker. Вона пропонує партнерам різні формати участі – від повноцінного використання шифрувальника до окремих моделей співпраці для афілійованих учасників.
У межах цієї діяльності угруповання також використовує нові інструменти для атак на вебсайти. Серед них – GhostSec Deep Scan tool, який застосовується для аналізу та розвідки вебресурсів, а також GhostPresser – інструмент, ймовірно призначений для компрометації сайтів, зокрема на популярних CMS.
Згідно з публікаціями самих зловмисників у Telegram-каналах і на сайті витоків даних, жертвами атак стали організації з таких країн: Куба, Аргентина, Польща, Китай, Ліван, Ізраїль, Узбекистан, Індія, Південно-Африканська Республіка, Бразилія, Марокко, Катар, Туреччина, Єгипет, Вʼєтнам, Таїланд та Індонезія.
Унаслідок спільної кампанії постраждали компанії з різних сфер бізнесу, про що зловмисники повідомляли у своїх Telegram-каналах.
У публікаціях GhostSec у Telegram простежується системна спрямованість атак на промислові системи, критичну інфраструктуру та технологічні компанії Ізраїлю. 12 листопада 2023 року угруповання також заявило, що серед постраждалих структур нібито було Міністерство оборони Ізраїлю.
GhostSec є хакерським угрупованням, яке у своїх Telegram-каналах позиціонує себе як одну з так званих «сучасних п’яти сімей» разом із ThreatSec, Stormous, Blackforums та SiegedSec. Група має чітку фінансову мотивацію та здійснює атаки з одинарним і подвійним вимаганням проти жертв у різних країнах. Згідно з їхніми заявами, вони також проводили атаки типу відмови в обслуговуванні (DoS) та виводили з ладу вебсайти жертв. У своїх повідомленнях угруповання зазначає, що основною метою є збір коштів для хактивістів і зловмисників через кіберзлочинну діяльність.
Назва GhostSec схожа на відому хактивістську групу Ghost Security Group, яка зосереджувалася переважно на протидії тероризму та атаках на про-ISIS ресурси. Водночас Ghost Security Group у своєму блозі повідомляла, що інше хакерське угруповання імітує їхню ідентичність.
У жовтні 2023 року GhostSec оголосило про запуск нової платформи ransomware-as-a-service під назвою GhostLocker. Після успішних спільних операцій із угрупованням Stormous у липні 2023 року проти кубинських міністерств, 14 жовтня 2023 року Stormous заявило, що поряд із власною програмою StormousX використовуватиме також ransomware GhostLocker.
Відтоді угруповання GhostSec і Stormous спільно проводять атаки з подвійним вимаганням, націлені на компанії з різних галузей бізнесу в багатьох країнах. Паралельно з ransomware-кампаніями GhostSec, імовірно, здійснювало атаки на корпоративні вебсайти, зокрема на сайт національного залізничного оператора Індонезії та однієї з провідних енергетичних компаній Канади. Для компрометації ресурсів могли використовуватися інструмент GhostPresser у поєднанні з технікою міжсайтового скриптингу (XSS).
24 лютого 2024 року угруповання Stormous повідомило в Telegram-каналі «The Five Families» про запуск нової програми ransomware-as-a-service під назвою STMX_GhostLocker, створеної спільно з партнерами з GhostSec. Програма передбачає три категорії сервісів для афілійованих учасників: платну, безкоштовну та окремий формат для осіб без участі в програмі, які хочуть лише продавати або публікувати викрадені дані у своїх блогах (PYV-сервіс).
У своїх Telegram-каналах угруповання публікувало схеми робочої моделі для афілійованих учасників та осіб, які не входять до програми.
Stormous і GhostSec запустили новий офіційний блог своєї RaaS-програми Stmx_GhostLocker у мережі TOR. На сайті передбачені функції для приєднання афілійованих учасників та публікації даних жертв. Панель керування блогу відображає кількість постраждалих і розкриті витоки з посиланнями на злиті дані. Також там вказано найбільший викуп у розмірі 500 000 доларів США, хоча немає підтвердження, що це справді найвища сума, яку вони отримували.
У листопаді 2023 року GhostSec оголосило про вихід нової версії свого шифрувальника під назвою GhostLocker 2.0. Згодом угруповання знову почало рекламувати актуальну Golang-версію, використовуючи назву GhostLocker V2, водночас повідомляючи про роботу над GhostLocker V3. Це свідчить про безперервний розвиток і вдосконалення їхнього інструментарію.
GhostLocker 2.0 шифрує файли на системі жертви, додаючи до них розширення «.ghost», після чого створює та автоматично відкриває повідомлення з вимогою викупу. У новій версії змінено текст записки: оператор просить зберегти ідентифікатор шифрування, який відображається в повідомленні, та передати його під час переговорів у чаті, натиснувши кнопку «Click me». Також зазначається, що викрадені дані будуть оприлюднені, якщо жертва не вийде на зв’язок протягом семи днів.
GhostLocker у форматі RaaS має керуючу C2-панель, у якій афілійовані учасники можуть переглядати інформацію про свої атаки та отриманий прибуток. Після запуску на системі жертви ransomware-бінарники реєструються в цій C2-панелі, що дозволяє відстежувати статус шифрування на ураженій машині.
Для GhostLocker 2.0 було зафіксовано C2-сервер з IP-адресою 94[.]103[.]91[.]246, розташований у Москві, Росія. Геолокація цього сервера збігається з розташуванням C2-інфраструктури попередніх версій GhostLocker, про які раніше повідомляли дослідники з кібербезпеки.
GhostLocker у форматі RaaS надає афілійованим учасникам конструктор ransomware з набором конфігураційних параметрів. Він дозволяє визначати режим закріплення шкідливого коду в системі після успішного запуску на машині жертви, обирати каталоги для шифрування, а також застосовувати методи обходу захисту, зокрема завершення певних процесів або сервісів, виконання довільних команд для видалення запланованих завдань чи обходу контролю облікових записів користувачів (UAC).
Нову версію ransomware GhostLocker під назвою GhostLocker 2.0 було зафіксовано в реальних атаках 15 листопада 2023 року. Більшість функціональних можливостей GhostLocker 2.0 збереглися з попередньої версії GhostLocker, написаної на Python. Винятком є відсутність watchdog-компонента, який у ранніх версіях використовувався для повторного запуску шифрувальника з каталогу автозавантаження Windows, а також зміна довжини ключа AES-шифрування з 128 біт у старій версії до 256 біт.
Під час першого запуску GhostLocker 2.0 копіює себе до папки автозавантаження Windows для закріплення в системі. Для збереженої копії використовується випадково згенерований рядок довжиною 32 байти, який слугує назвою файлу в каталозі автозапуску.
Після закріплення в системі ransomware встановлює з’єднання з C2-сервером за URL-адресою hxxp[://]94[.]103[.]91[.]246[/]incrementLaunch.
Після успішного встановлення з’єднання з C2-сервером ransomware генерує секретний ключ і ідентифікатор шифрування, збирає IP-адресу жертви, дату зараження та інші дані з конфігураційних параметрів, зокрема статус шифрування, суму викупу й унікальний ідентифікатор жертви, після чого формує JSON-файл у пам’яті зараженої системи.
Згенерований JSON-файл надсилається на C2-сервер за URL-адресою hxxp[://]94[.]103[.]91[.]246[/]addInfection для реєстрації зараження системи жертви в C2-панелі.
Після реєстрації зараження системи жертви в C2-панелі ransomware намагається завершити визначені процеси, сервіси або заплановані завдання Windows, зазначені в конфігураційних параметрах, з метою обходу виявлення.
GhostLocker 2.0 здійснює пошук цільових файлів на системі жертви відповідно до списку розширень, заданого зловмисником. Перед початком шифрування файли передаються на C2-сервер через URL-адресу hxxp[://]94[.]103[.]91[.]246[/]upload за допомогою HTTP POST. У проаналізованому зразку GhostLocker 2.0 ransomware було налаштовано на викрадення та шифрування файлів із розширеннями .doc, .docx, .xls і .xlsx.
Після успішного викрадення даних GhostLocker 2.0 шифрує цільові файли та додає до них розширення «.ghost». Під час процесу шифрування ransomware пропускає каталог C:\Windows. Після завершення шифрування шкідливе ПЗ створює вбудовану записку з вимогою викупу у вигляді HTML-файлу з назвою Ransomnote.html на робочому столі жертви та відкриває її за допомогою команди Windows Start.
У розпорядженні GhostSec є щонайменше два інструменти, які угруповання пов’язує з компрометацією легітимних вебресурсів. Перший це GhostSec Deep Scan toolset, призначений для рекурсивного сканування сайтів. Другий це інструмент для здійснення атак типу міжсайтового скриптингу (XSS) під назвою GhostPresser.
GhostSec Deep Scan toolset є утилітою на Python, яку зловмисники можуть використовувати для сканування вебсайтів потенційних цілей з метою збору інформації та виявлення вразливостей.
Інструмент містить кілька модулів для виконання таких типів сканування цільових вебсайтів:
виконання пошуку за заданими користувацькими параметрами
сканування кількох вебсайтів одночасно
витягування гіперпосилань зі сторінок сайту
глибоке сканування з аналізом технологій, використаних для побудови вебсторінки
перевірка протоколів безпеки з виявленням SSL/TLS та HSTS (HTTP Strict Transport Security)
аналіз вмісту вебсайту з експортом даних у файл
виконання WhoIs-запитів
перевірка наявності битих посилань на сайті
Також у коді передбачені заготовки для додаткових функцій, зокрема аналізу SSL, DNS-запитів, перевірки файлів robots.txt і sitemap.xml, пошуку відомих вразливостей (CVE) на цільовому сайті, а також розширеного пошуку за типом файлів, діапазоном дат і власними критеріями. Це вказує на постійний розвиток інструментарію GhostSec.
Окрему увагу привертає модуль deep_scan, який використовується для парсингу та збору інформації з вебсторінок і визначення застосованих технологій. Для цього застосовуються бібліотеки Python, зокрема Beautiful Soup для аналізу HTML і XML, а також BuiltWith для виявлення технологій, що використовуються на сайті, таких як Apache, jQuery або WordPress.
GhostPresser є інструментом для обходу адміністративного доступу та зламу системи керування контентом WordPress. Це shell-скрипт, який, за заявами GhostSec, використовувався під час XSS-атаки на легітимний вебсайт у Канаді. Інструмент перебуває на стадії доопрацювання, оскільки в його коді виявлено кілька заготовок для реалізації функцій аудиту цільових вебсайтів. Наразі невідомо, які саме типи аудитів зловмисники планують інтегрувати в цей інструмент.
Після успішного впровадження GhostPresser у цільовий вебсайт на WordPress зловмисник може виконувати такі дії:
обходити механізми входу та виконувати допоміжні дії, зокрема перевірку cookies
активувати та деактивувати плагіни
змінювати налаштування WordPress
створювати нових користувачів
оновлювати інформацію ядра WordPress
встановлювати нові теми оформлення
Нижче наведено приклад функції в GhostPresser, яка використовується для встановлення нових тем у WordPress.
GhostSec давно вийшло за межі хактивізму й фактично перетворилося на повноцінну кіберзлочинну структуру з чіткою фінансовою мотивацією. Запуск GhostLocker 2.0 та спільної RaaS-платформи зі Stormous показує системний підхід: від зламу вебресурсів і розвідки до шифрування даних і публічного тиску на жертв.
Найбільша небезпека полягає не лише в самому шифрувальнику, а в екосистемі навколо нього – партнерських програмах, інструментах для компрометації сайтів і глобальній географії атак. Це робить GhostSec та GhostLocker 2.0 реальною загрозою для бізнесу, критичної інфраструктури й організацій у різних країнах, незалежно від їхнього розміру чи галузі.
