# GhostSec ## Visão Geral GhostSec (Ghost Security) e um grupo hacker que surgiu em 2015 como offshoot do Anonymous, inicialmente focado em contraterrorismo e interrupcao de conteudo online do ISIS. Ao longo dos anos, o grupo passou por uma transformacao radical: de hacktivistas contraterroristas para operadores de ransomware e cybercriminosos financeiramente motivados - e depois (supostamente) voltou ao hacktivismo em maio de 2024. O grupo e membro fundador da coalição "The Five Families" e ficou notorio pelo desenvolvimento do **[[ghostlocker|GhostLocker ransomware]]** e pela parceria com o [[stormous|Stormous]] para ataques de dupla extorsao em múltiplos paises, incluindo **Brasil confirmado** em campanhas de 2024. O GhostSec conduziu ataques contra infraestrutura critica israelense em suporte a Palestina, incluindo sistemas ICS/OT, bombas d'agua e sistemas de transporte. **Nota importante:** GhostSec nao deve ser confundido com o "Ghost Security Group" - organização separada focada genuinamente em contraterrorismo. ## Evolução do Grupo ```mermaid timeline title Transformacao do GhostSec 2015 : Fundacao como offshoot do Anonymous : Foco anti-ISIS - Operação opISIS 2022 : Ataques a Israel : Infraestrutura critica, telecoms, energia Jul 2023 : Parceria com Stormous : Ataques conjuntos a Cuba Ago 2023 : The Five Families formada : Coalição GhostSec + Stormous + 3 grupos Out 2023 : GhostLocker RaaS lancado : Ransomware a USD 999/mes Nov 2023 : GhostLocker 2.0 em Go : Ataques a saude israelense Fev 2024 : STMX_GhostLocker com Stormous : Brasil, Argentina confirmados Mai 2024 : Anuncio de retirada do crime : Stormous assume GhostLocker ``` ## Relevância para o Brasil e LATAM > [!warning] Brasil Alvo Confirmado em 2024 > A Cisco Talos documentou que a campanha conjunta GhostSec + Stormous utilizando STMX_GhostLocker afetou vitimas no **Brasil, Argentina e Cuba** em 2024. Setores afetados incluem tecnologia, educação, manufatura, governo, transportes, energia, saúde e telecomúnicacoes. O GhostSec usava hashtags específicas para ataques por pais - "#Brazil" foi identificado como alvo ativo. A Alfa Comercial (empresa brasileira) foi listada como vitima em 2023. Organizacoes brasileiras de infraestrutura critica e tecnologia devem considerar este grupo como ameaça relevante. ## Attack Flow GhostSec ```mermaid graph TB A["🎯 Acesso Web / VPN<br/>Exploit de aplicações expostas<br/>Credenciais bruteforce (T1190)"] --> B["🔍 Scan com GhostSec Deep Scan<br/>Mapeamento de vulnerabilidades<br/>Detecção de tecnologias"] B --> C["💉 Injecao XSS<br/>GhostPresser para WordPress<br/>Defacement + staging (T1059.007)"] C --> D["🔀 Movimento Lateral<br/>Credenciais roubadas<br/>Acesso a sistemas ICS/OT"] D --> E["📦 Exfiltração<br/>Dados exfiltrados pre-criptografia<br/>Low-Cost-Database Project"] E --> F["💥 GhostLocker Deploy<br/>Criptografia com .ghost extension<br/>Prazo de 7 dias para contato"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#f39c12,color:#fff style F fill:#196f3d,color:#fff ``` ## Ataques Notaveis | Data | Vitima | Tipo | |------|--------|------| | Mai 2022 | HRVAC (Israel) | Hack + vazamento de credenciais | | Jun-Jul 2022 | Telecom e energia israelense | Interrupcao de servicos | | Set 2022 | Dispositivos PLC israelenses | Ataque ICS/OT | | Jul 2023 | Ministerios cubanos (3) | Ransomware + extorsao com Stormous | | 2023 | Alfa Comercial (Brasil) | Extorsao - Five Families | | Out 2023 | Bombas d'agua israelenses | GhostLocker + danos fisicos | | Nov 2023 | Ministerio da Defesa (Israel - alegado) | Dados vazados | | 2024 | Vitimas no Brasil, Argentina, Cuba, India | STMX_GhostLocker - Talos documentado | ## Ferramentas Proprietarias ### GhostLocker 2.0 (Go) - Extensao de arquivos criptografados: `.ghost` - Nota de resgaté: instrucoes via chat no C2 panel - Prazo: 7 dias para contato ou dados vazados - C2 documentado: `94[.]103[.]91[.]246` (Moscou, Russia) - Builds para Windows com config: diretorios-alvo, kill processes, evasão AV ### GhostSec Deep Scan Tool - Scanner recursivo de websites - Extração de hyperlinks e mapeamento de tecnologias - Detecção de SSL/TLS e HSTS - Análise de conteudo para identificar vetores de ataque ### GhostPresser - Ferramenta de ataque XSS para WordPress - Modifica configuracoes do site, adiciona plugins/usuarios - Usado para defacement e staging de payloads ## Modelo STMX_GhostLocker (2024) Parceria GhostSec + [[stormous|Stormous]] oferece: 1. **Pago** - Builder completo + painel C2 + suporte 2. **Gratuito** - Acesso limitado para operadores menores 3. **PYV (Publish Your Victim)** - Apenas públicacao de dados (sem ransomware necessário) ## Técnicas Utilizadas - [[t1499-endpoint-denial-of-service|T1499]] - Ataques DDoS contra alvos geopoliticos - [[t1190-exploit-public-facing-application|T1190]] - Exploits em aplicações web e VPNs - [[t1059-007-javascript|T1059.007]] - XSS attacks via GhostPresser (WordPress) - [[t1486-data-encrypted-for-impact|T1486]] - GhostLocker 2.0 criptografia - [[t1567-002-exfiltration-cloud-storage|T1567.002]] - Low-Cost-Database Project ## Software Utilizado - [[ghostlocker|GhostLocker]] (Python) - RaaS inicial - [[ghostlocker-2|GhostLocker 2.0]] (Go/Golang) - Versao evoluida; extensao .ghost - GhostSec Deep Scan Tool - Scanner de vulnerabilidades web - GhostPresser - Exploitacao de WordPress (XSS) - GhostStealer - Ferramenta de roubo de dados - DarkZone Forum - Infraestrutura propria (lancado 2024) --- *Fontes: [Cisco Talos - GhostSec Joint Ops](https://blog.talosintelligence.com/ghostsec-ghostlocker2-ransomware/) | [Uptycs GhostLocker Analysis](https://www.uptycs.com/blog/threat-research-report-team/ghostlocker-ransomware-ghostsec) | [The Hacker News](https://thehackernews.com/2024/03/alert-ghostsec-and-stormous-launch.html) | [Rapid7 - Hacktivism to Cybercrime](https://www.rapid7.com/blog/post/2025/06/03/from-ideology-to-financial-gain-exploring-the-convergence-from-hacktivism-to-cybercrime/)*