Um novo relatório de inteligência de ameaças acende o alerta para empresas e organizações em todo o mundo: um grupo de cibercriminosos chineses, identificado como Ghost, tem conduzido ataques com motivação financeira contra setores estratégicos como governo, energia, indústria, finanças e saúde.
Diferente de outros grupos associados a espionagem estatal, o Ghost opera com foco exclusivamente econômico, e vem se destacando por ações de ransomware extremamente destrutivas. Seus alvos principais estão concentrados na América do Norte e no Reino Unido, mas mais de 70 países já foram impactados de alguma forma, segundo alertas emitidos por órgãos como o FBI e a Agência de Segurança Cibernética e de Infraestrutura dos EUA.
Técnicas sofisticadas e identidades mutáveis
Segundo a pesquisadora de cibersegurança Rebecca Harpur, o Ghost se apresenta sob diferentes codinomes, como Cring, Crypt3r, Hello e Phantom, dificultando sua rastreabilidade. A troca constante de identidade é uma das estratégias utilizadas para confundir investigações e manter a operação ativa por mais tempo.
A cadeia de ataque utilizada segue um padrão bem definido. Os cibercriminosos exploram vulnerabilidades conhecidas em sistemas expostos à internet, como servidores web, e-mails corporativos e dispositivos de VPN. Após a invasão inicial, o grupo instala backdoors usando ferramentas como web shells e o conhecido framework de ataque Cobalt Strike, desativa sistemas de segurança, cria novas contas de usuário e escala privilégios até obter controle total da rede.
Ransomware: o golpe final
Com acesso elevado à rede, o Ghost realiza movimentações laterais e extrai silenciosamente dados sensíveis, enviando-os para servidores controlados pelo grupo. Na fase final, os sistemas comprometidos são infectados com ransomware – geralmente nomeado como Ghost.exe ou Cring.exe – que criptografa todos os arquivos e remove backups. Uma nota de resgate é exibida exigindo pagamento para restauração dos dados, com a ameaça de vazamento caso a exigência não seja atendida.
Apesar de os ataques a hospitais serem menos frequentes, o setor da saúde ainda é considerado vulnerável, especialmente por lidar com dados altamente sensíveis e sistemas críticos.
Como sua organização pode se proteger?
Na SIAC Tecnologia, reforçamos a importância da atualização contínua de sistemas, auditorias de segurança, e planos robustos de resposta a incidentes como medidas essenciais para mitigar riscos. Além disso, a educação e conscientização das equipes sobre práticas seguras no ambiente digital continua sendo uma das primeiras linhas de defesa contra ameaças como o Ghost.
Fique atento aos boletins de segurança e conte com nossa equipe para auxiliar na proteção dos seus dados e sistemas. A cibersegurança deve ser prioridade em todas as camadas da organização.