El ransomware Ghost, también conocido como Cring, representa una seria amenaza cibernética para organizaciones en más de 70 naciones.
Desde su aparición inicial en 2021, este software malicioso ha experimentado una rápida evolución, consolidándose como una de las variantes de ransomware más peligrosas debido a su sofisticado cifrado y sus agresivas tácticas de extorsión.
En febrero de 2025, el FBI y la CISA emitieron una alerta conjunta sobre la creciente campaña global de Ghost.
El malware explota principalmente vulnerabilidades en sistemas públicos, particularmente servidores VPN sin parches y aplicaciones heredadas.
Una vez dentro de una red, Ghost opera con una velocidad notable, a menudo completando su ciclo de ataque desde la infracción hasta el cifrado en menos de 24 horas, significativamente más rápido que otros grupos notorios como Conti o LockBit que normalmente operan durante semanas.
Esta rápida explotación deja a los equipos de seguridad con un tiempo mínimo para detectar y responder a las intrusiones antes de que se produzcan daños críticos.
Los investigadores de BlackFog han identificado indicadores técnicos que sugieren que el malware se origina en una banda de cibercriminales con motivación financiera que opera desde China.
Su análisis revela que el grupo utiliza varios alias en la web oscura, lo que hace que la atribución y las acciones policiales sean particularmente desafiantes.
A diferencia de los actores de amenazas patrocinados por el estado que persiguen objetivos de espionaje, Ghost parece centrarse exclusivamente en obtener ganancias financieras a través del pago de rescates.
El impacto ha sido devastador en los sectores de salud, energía y servicios financieros, aunque ninguna industria permanece inmune.
Los atacantes apuntan deliberadamente a organizaciones que luchan contra la “fatiga de parches”: equipos de TI abrumados que no pueden seguir el ritmo de las actualizaciones de vulnerabilidades.
Este enfoque oportunista ha demostrado ser eficaz incluso contra organizaciones con buenos recursos que descuidan los parches de seguridad oportunos.
La sofisticación técnica de Ghost ha generado importantes preocupaciones entre los profesionales de la seguridad.
Su modelo de doble extorsión (que amenaza tanto el cifrado permanente como la divulgación pública de los datos robados) crea una presión extraordinaria sobre las víctimas para que paguen rescates, normalmente exigidos en criptomonedas.
Esta táctica se ha vuelto cada vez más común entre los operadores de ransomware que buscan maximizar la influencia contra las víctimas que, de otro modo, dependerían de las copias de seguridad.
El mecanismo de infección demuestra una eficiencia notable, comenzando con el escaneo de vulnerabilidades de los sistemas conectados a Internet.
Después de identificar objetivos vulnerables, los atacantes implementan web shells y balizas Cobalt Strike como puertas traseras, estableciendo un acceso persistente.
Estas herramientas permiten a los atacantes mantener una presencia sigilosa mientras realizan actividades de reconocimiento en todo el entorno de la víctima.
Después de obtener privilegios de administrador mediante exploits adicionales o recolección de credenciales, los operadores de Ghost crean nuevas cuentas de usuario y desactivan sistemáticamente el software de seguridad.
Este enfoque integral permite el movimiento lateral sin restricciones por toda la red, extrayendo datos valiosos antes de la fase de cifrado final.
Los atacantes identifican y atacan meticulosamente información confidencial, dando prioridad a las bases de datos que contienen propiedad intelectual, datos de clientes y registros financieros.
En la etapa final, los ejecutables llamados Ghost.exe o Cring.exe cifran los archivos y al mismo tiempo destruyen las copias de seguridad.
Este ataque coordinado elimina las opciones de recuperación, lo que obliga a las víctimas a considerar demandas de rescate.
La nota de rescate exige el pago de las claves de descifrado y para evitar la divulgación pública de información robada, y los atacantes mantienen la comunicación a través de canales de correo electrónico anónimos para aplicar presión psicológica para el pago.
La campaña Ghost Ransomware representa una de las amenazas de ciberseguridad más importantes actualmente activas. Su alcance global, sofisticación técnica y metodología de ataque rápido presentan desafíos extraordinarios para las organizaciones de todo el mundo.
