El grupo de hackers GhostSec ha experimentado un aumento significativo de sus actividades maliciosas durante el año pasado, según una investigación realizada por Cisco Talos.
Este aumento incluye la aparición de GhostLocker 2.0, una nueva variante de ransomware desarrollada por el grupo utilizando el lenguaje de programación Golang.
GhostSec, en colaboración con el grupo de ransomware Stormous, ha estado realizando ataques de ransomware de doble extorsión en múltiples países y sectores comerciales. Además, lanzaron un programa de ransomware como servicio (RaaS) llamado STMX_GhostLocker, que ofrece varias opciones para los afiliados.
En un aviso publicado hoy, Talos dijo que también descubrió dos nuevas herramientas en el arsenal de GhostSec: la “herramienta GhostSec Deep Scan” y “GhostPresser”, ambas probablemente utilizadas en ataques contra sitios web. Estas herramientas permiten el escaneo de sitios web legítimos y la ejecución de ataques de secuencias de comandos entre sitios (XSS), respectivamente.
Las operaciones conjuntas de GhostSec y Stormous han afectado a víctimas en todo el mundo, incluso en Cuba, Argentina, Polonia, China e Israel, entre otros. Los grupos se han dirigido a diversas industrias, principalmente la tecnología y la educación, como lo demuestran las revelaciones realizadas en sus canales de Telegram.
GhostSec, que afirma estar asociado con grupos de hackers modernos como ThreatSec y Blackforums, se centra principalmente en actividades cibercriminales con motivación financiera. Llevan a cabo ataques de extorsión simple y doble, ataques de denegación de servicio (DoS) y eliminación de sitios web, con el objetivo de recaudar fondos para hacktivistas y otros actores de amenazas.
Lea más sobre GhostSec: Hacker Group GhostSec presenta un implante de ransomware de nueva generación
Según Cisco Talos, la introducción de GhostLocker 2.0 demuestra la evolución de las tácticas del grupo en el desarrollo de ransomware. Esta variante cifra archivos con la extensión “.ghost” y presenta notas de rescate actualizadas y capacidades de panel de comando y control (C2).
Además, el descubrimiento de la herramienta GhostSec Deep Scan y GhostPresser subraya la sofisticación del grupo a la hora de comprometer sitios web legítimos. Estas herramientas facilitan el escaneo de sitios web y los ataques XSS, ampliando las capacidades del grupo más allá de las operaciones tradicionales de ransomware.
