Les États-Unis sonnent l’alarme au sujet du ransomware Ghost. Dans un communiqué de presse, le FBI et l’Agence de cybersécurité et de sécurité des infrastructures indiquent avoir décelé une foule de cyberattaques orchestrées par le virus depuis 2021. Selon les autorités, plus de 70 pays différents se sont retrouvés dans le collimateur des cybercriminels en l’espace de quelques années.
Plusieurs organisations situées en Chine font partie des victimes. Le groupuscule s’attaque à des entités, comme « les infrastructures critiques, les écoles et universités, le secteur des soins de santé, les réseaux gouvernementaux, les institutions religieuses, les entreprises technologiques et manufacturières, ainsi que de nombreuses petites et moyennes entreprises ». La liste des secteurs visés est particulièrement large.
Un ransomware qui brouille les pistes
Pendant un temps, les attaques orchestrées par Ghost ont été difficiles à identifier. Pour échapper à la détection, les pirates apportaient souvent des petits changements à leurs notes de rançon, leur mode opératoire et leurs différents outils. Les cybercriminels utilisent aussi plusieurs adresses e-mail pour les communications liées à la rançon, ce qui leur permet de se cacher derrière différentes identités, telles que Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada et Rapture.
Les hackers sont adeptes de la stratégie de la double extorsion. En effet, les criminels « affirment fréquemment que les données volées seront vendues si la victime ne paie pas la rançon ». Cette approche augmente les chances que la victime verse l’argent. Par ailleurs, les sauvegardes de données ne suffisent plus à se protéger contre un ransomware dans le cas d’une double extorsion. C’est pourquoi la stratégie est massivement adoptée par les professionnels de l’extorsion, dont le leader Lockbit.
À lire aussi : les victimes ne paient plus, les pros du ransomware changent de tactique
Des logiciels obsolètes et des failles connues
Apparu il y a quatre ans, Ghost se concentre sur « des organisations utilisant des versions obsolètes de logiciels et de micrologiciels sur leurs services en ligne ». Les cybercriminels recherchent des entreprises ayant laissé des failles dans leur sécurité en négligeant l’installation de correctifs et de mises à jour.
Pour glisser leur ransomware sur le système de leurs cibles, les hackers s’appuient sur « des vulnérabilités connues en s’appuyant sur du code accessible au public, profitant de l’absence de mises à jour de sécurité pour infiltrer les serveurs exposés à Internet ». Parmi les failles exploitées par Ghost, on trouve des brèches au sein des VPN de Fortinet, des vulnérabilités d’Adobe Coldfusion, et des manquements dans le code de Microsoft Exchange. Comme le montrent plusieurs études, les VPN restent l’une des portes d’entrée favorites des spécialistes de l’extorsion.
Dans ce contexte, les autorités américaines recommandent chaudement aux entreprises de corriger toutes les failles d’un logiciel dans les plus brefs délais, à commencer par les vulnérabilités déjà exploitées par Ghost. Comme le souligne Tenable dans une réaction adressée à 01Net, « les cyberattaquants ont démontré à maintes reprises qu’ils sont tenaces et qu’ils exploiteront ces vulnérabilités non corrigées, quel que soit le secteur d’activité ou l’importance de l’organisation victime ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : cisa.gov
