2025年2月19日，美国网络安全和基础设施安全局（CISA）与联邦调查局（FBI）及多州信息共享与分析中心（MS-ISAC）联合发布了一项关于Ghost（又称Cring）勒索病毒的网络安全警示。这份警示是“停止勒索软件”行动的一部分，目的是为网络防御者提供应对Ghost勒索软件活动的检测方法及应对措施。

Ghost勒索病毒通过利用易受攻击的互联网服务和旧版软件进行广泛的攻击，目标锁定的包括学校、大学、医疗机构、政府网络、宗教组织、技术和制造公司等。根据报告，Ghost攻击者自2021年初以来已经对70多个国家的多个组织实施了攻击。Ghost的攻击策略涉及到多种战术和技术，攻击者利用已公开的代码和常见漏洞（CVE）进行入侵，这些漏洞通常是由于未及时更新补丁而遗留的。

例如，Ghost勒索病毒利用以下已知漏洞进行入侵：

• CVE-2018-13379 - Fortinet FortiOS
• CVE-2010-2861 - Adobe ColdFusion
• CVE-2009-3960 - Adobe ColdFusion
• CVE-2021-34473 - Microsoft Exchange
• CVE-2021-34523 - Microsoft Exchange
• CVE-2021-31207 - Microsoft Exchange（ProxyShell攻击链）

报告中强调，网络防御者需要定期进行系统备份，确保备份与源系统分开存储，以防止被勒索病毒篡改或加密。此外，及时修补已知漏洞也是防止Ghost勒索软件入侵的一项关键措施。CISA鼓励大家浏览“停止勒索软件”指南，获取更多关于勒索软件防护、检测和响应的指导。

美国网络安全与基础设施安全局、联邦调查局与多州信息共享与分析中心在此警示中指出，Ghost（Cring）勒索病毒的活动会严重影响受害者的运作，可能导致重大的财务损失与数据泄露。为降低Ghost勒索病毒事件的发生几率和影响，组织应落实以下建议：

1. 保持定期系统备份，并将其存放在与源系统隔离的环境中。
2. 快速修补已知漏洞，确保操作系统、软件和固件的安全更新及时应用。
3. 网络分段，限制初始感染设备与组织内其他设备的横向移动。
4. 强化多因素身份验证，确保所有特权账户及邮箱服务账户的安全。

Ghost勒索病毒以其灵活性著称，攻击者会频繁更换勒索软件的可执行载荷，切换加密文件的扩展名，并修改勒索通知的文本。这种策略使得对该团体的归属难以准确判断。与这个团体相关的名称包括Ghost、Cring、Crypt3r、Phantom等。同时，Ghost的攻击使用了一系列常见的渗透测试工具和自制的恶意软件，如Cobalt Strike和多种Web shell。

Ghost勒索软件还会在感染后的短时间内迅速加密受害者的文件，并要求以比特币的形式支付赎金。一次攻击中的赎金要求金额从几千美元到数十万美元不等，具体取决于受害者的业务性质及其支付能力。该威胁组专门针对已经存在的安全漏洞进行攻击，因此对于任何组织来说，采取披露与报告网络入侵的最佳实践显得尤为重要。

在防范Ghost勒索软件活动时，CISA和FBI也强调了监控与识别可疑网络活动的重要性，以便早期识别并中断恶意活动。此外，组织应限制不必要的服务暴露，并运用先进的电子邮件安全措施来防范钓鱼攻击。

在未来，CISA、FBI和MS-ISAC将持续提供有关各类勒索软件变种和攻击者的倡导警示，帮助组织保护其信息资产和运营的安全。通过定期学习与实施这些建议，组织可提高其网络安全防护能力并降低被勒索软件攻击的风险。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课