Um novo relatório de inteligência de ameaças revelou como um grupo de cibercriminosos chineses está conduzindo ataques globais com motivação financeira, atingindo setores críticos como governo, energia, indústria, finanças e saúde. O grupo, apelidado de Ghost, tem sido particularmente ativo na América do Norte e no Reino Unido, com ações de ransomware altamente destrutivas que visam lucros e não estão vinculadas a interesses estatais. De acordo com os pesquisadores, os ataques são organizados por um grupo chinês sem ligações conhecidas com o governo e motivado puramente por ganhos econômicos.
A pesquisadora Rebecca Harpur explica que o grupo já utilizou diversos nomes como Cring, Crypt3r, Hello e Phantom, estratégia que dificulta a identificação consistente de suas operações. A constante mudança de identidade também complica o rastreamento por parte das autoridades, como o FBI e a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos, que já emitiram alertas conjuntos sobre a ameaça representada pelo Ghost em mais de 70 países. A metodologia dos ataques segue um padrão bem definido. A invasão começa pela exploração de vulnerabilidades não corrigidas em sistemas expostos à internet, como servidores web, e-mail e dispositivos de VPN. Uma vez dentro da rede, os hackers instalam backdoors utilizando web shells e ferramentas como o Cobalt Strike, criam novas contas de usuário, desativam softwares de segurança e escalam privilégios administrativos.
Com acesso elevado, os criminosos se movem lateralmente pela rede e realizam a extração silenciosa de dados sensíveis para servidores controlados pelo grupo. Na fase final do ataque, o ransomware é implantado nos sistemas comprometidos, normalmente com o nome de Ghost.exe ou Cring.exe. Todos os arquivos são criptografados, os backups são apagados e uma nota de resgate é exibida em cada máquina, ameaçando a perda definitiva dos dados ou sua divulgação pública caso o pagamento não seja efetuado. Embora ataques a hospitais sejam menos frequentes do que a outros alvos, o histórico recente mostra que a área da saúde continua vulnerável.
