El ransomware Ghost (también conocido como Cring) no es un actor nuevo en la escena del cibercrimen. Desde 2021, ha acumulado víctimas en más de 70 países, atacando sistemas vulnerables conectados a Internet y, en muchos casos, pasando del acceso inicial al cifrado de datos en menos de 24 horas. Su velocidad y efectividad lo han convertido en una amenaza real para empresas y gobiernos en todo el mundo, y América Latina no es la excepción.
Ante el creciente número de ataques, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una advertencia urgente como parte de su campaña #StopRansomware. En ella, advierte sobre las tácticas del grupo y señala que las organizaciones con software y firmware obsoletos son las más vulnerables.
Los ataques de ransomware no son cosa del futuro; ya están ocurriendo, y Ghost Cring es una prueba de ello. Si no quieres que tu empresa sea la próxima víctima, es fundamental entender cómo opera este malware, por qué está atacando con tanta fuerza en la región y, lo más importante, cómo protegerte.
El grupo de ransomware Ghost, también conocido como Cring, lleva años aprovechando vulnerabilidades antiguas en sistemas conectados a Internet. Ataca principalmente servidores con errores de seguridad sin parchear, muchos de los cuales pudieron haberse corregido hace años. De hecho, los expertos en ciberseguridad llevan advirtiendo sobre este grupo desde 2021, cuando se detectó que explotaban fallas en software obsoleto para tomar el control de servidores y desplegar su ransomware en toda la red de sus víctimas.
Un caso investigado mostró cómo los atacantes usaron una vulnerabilidad de hace 11 años en Adobe ColdFusion 9 para infiltrarse en un servidor y desde ahí lanzar su ransomware contra otras máquinas en la red. Y este no es un caso aislado. En el pasado, el grupo ha utilizado brechas en Remote Desktop Protocol (RDP) y VPNs para acceder a sistemas sin ser detectados.
El problema con Ghost no es solo su capacidad para encontrar puntos débiles, sino la rapidez con la que actúa. A diferencia de otros grupos de ransomware que pueden pasar semanas o meses dentro de una red antes de lanzar su ataque, Ghost es directo y veloz. La CISA ha documentado casos en los que logran acceder a un sistema, ejecutar el ransomware y cifrar archivos en menos de 24 horas. En algunos incidentes, sus operadores han utilizado herramientas como Mimikatz y CobaltStrike para moverse dentro de la red y desplegar el ransomware usando CertUtil, una herramienta legítima de Windows que les ayuda a evadir los antivirus.
La lista de víctimas de Ghost sigue creciendo, y no se limita a una sola industria. Han atacado infraestructuras críticas, hospitales, universidades, empresas tecnológicas, redes gubernamentales e incluso organizaciones religiosas y pequeñas empresas. Su estrategia es clara: buscan servidores con vulnerabilidades sin parchear en software como Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) y Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Además, este grupo se adapta constantemente para dificultar su rastreo. Cambian los ejecutables del ransomware, modifican las notas de rescate, alteran las extensiones de los archivos cifrados y usan múltiples direcciones de correo para negociar el rescate. Por eso, han operado bajo varios nombres, como Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada y Rapture.
El mensaje es claro: Ghost no necesita semanas para hacer daño, y si tu empresa no está al día con las actualizaciones de seguridad, podrías ser su próxima víctima.
Conoce más sobre: Casos Reales de Ciberataques en Latinoamérica y Cómo Protegerse
El informe de la CISA y el FBI reveló que los ciberdelincuentes detrás de Ghost Cring tienen un enfoque agresivo y eficiente para infiltrarse en sistemas. Una vez que comprometen un servidor, cargan un web shell (un acceso remoto oculto) y usan herramientas como el Símbolo del sistema de Windows o PowerShell para descargar e instalar Cobalt Strike Beacon, un software legítimo de pruebas de seguridad que ellos utilizan para controlar los sistemas infectados.
A diferencia de otros grupos que pasan semanas dentro de una red antes de lanzar un ataque, los operadores de Ghost Cring suelen estar activos solo unos días. Sin embargo, en ese corto tiempo, crean nuevas cuentas de usuario, cambian contraseñas y usan técnicas avanzadas para elevar sus privilegios y tomar el control total de los sistemas.
Para lograr esto, recurren a herramientas de código abierto como SharpZeroLogon, SharpGPPPass, BadPotato y GodPotato, que les ayudan a ganar acceso de administrador. También utilizan Cobalt Strike y Mimikatz para robar credenciales y hashes de contraseñas, lo que les permite moverse por la red sin ser detectados.
Otro paso común en sus ataques es desactivar Windows Defender en los dispositivos comprometidos para evitar que su malware sea detectado. Además, emplean herramientas como SharpShares para encontrar recursos compartidos en la red y Ladon 911 o SharpNBTScan para identificar otros sistemas vulnerables. Su infraestructura de control y comando (C2) se basa en Cobalt Strike Team Servers, lo que les permite operar con sigilo y ejecutar sus ataques con precisión.
Un detalle clave del informe de la CISA y el FBI es que Ghost Cring prefiere retirarse y buscar otro objetivo cuando se enfrenta a redes bien protegidas. En otras palabras, si tu sistema está bien asegurado, es probable que ni siquiera pierdan el tiempo contigo.
Las mejores prácticas de ciberseguridad siguen siendo la primera línea de defensa contra estos ataques. Aplicar parches de seguridad a tiempo, segmentar la red para limitar el movimiento de los atacantes, reforzar la protección de dispositivos, proteger credenciales sensibles y monitorear constantemente la red son medidas fundamentales para evitar caer en las manos de grupos como Ghost Cring.
Además de estas buenas prácticas, contar con soluciones avanzadas como TecnetProtect puede marcar la diferencia. TecnetProtect es una plataforma integral de ciberseguridad y backups que incluye protección antiransomware en tiempo real, monitoreo inteligente de amenazas y recuperación rápida de datos en caso de un ataque. Con una combinación de defensa proactiva y copias de seguridad seguras, TecnetProtect ayuda a minimizar riesgos y garantiza la continuidad operativa, incluso frente a ataques sofisticados.
En resumen, no hace falta una infraestructura de seguridad ultra sofisticada para protegerse de este tipo de amenazas; simplemente asegurarte de que tu sistema no tenga puertas abiertas y contar con soluciones como TecnetProtect puede marcar la diferencia entre ser una víctima más o evitar el desastre.
Podría interesarte leer: ¿Qué Grupos de Ransomware Atacan México?: Descubre el Top 10
Si quieres saber si tu sistema ha sido comprometido por Ghost Cring, estos son algunos de los indicadores de compromiso (IoC) que han identificado el FBI y la CISA. Se trata de archivos maliciosos que el ransomware utiliza durante sus ataques y sus respectivos hashes MD5, que pueden ayudarte a detectarlos en tu red.
| Nombre del archivo | Hash MD5 |
|---|---|
| Cring.exe | c5d712f82d5d37bb284acd4468ab3533 |
| fantasma.exe | 34b3009590ec2d361f07cac320671410 |
| - | d9c019182d88290e5489cdf3b607f982 |
| ElysiumO.exe | 29e44e8994197bdb0c2be6fc5dfc15c2 |
| - | c9e35b5c1dc8856da25965b385a26ec4 |
| - | d1c5e7b8e937625891707f8b4b594314 |
| Locker.exe | ef6a213f59f3fbee2894bd6734bbaed2 |
| iex.txt, pro.txt (IOX) | ac58a214ce7deb3a578c10b97f93d9c3 |
| x86.log (IOX) | c3b8f6d102393b4542e9f951c9435255 |
| - | 0a5c4ad3ec240fbfd00bdc1d36bd54eb |
| sp.txt (IOX) | ff52fdf84448277b1bc121f592f753c5 |
| archivo principal.txt (IOX) | a2fd181f57548c215ac6891d000ec6b9 |
| isx.txt (IOX) | 625bd7275e1892eac50a22f8b4a6355d |
| calcetín.txt (IOX) | db38ef2e3d4d8cb785df48f458b35090 |
Si encuentras alguno de estos archivos en tus sistemas, es una señal de alerta. Lo mejor que puedes hacer es aislar la máquina afectada de la red y contactar de inmediato a tu equipo de ciberseguridad para analizar y mitigar el impacto.
Recuerda que la mejor defensa contra Ghost Cring y otros tipos de ransomware es la prevención: mantén tus sistemas actualizados, revisa los logs de actividad y usa soluciones avanzadas de seguridad como TecnetProtect para detectar amenazas antes de que sea demasiado tarde.