CISA et le FBI ont déclaré que les attaquants déployant des ransomwares fantômes avaient violé des victimes de plusieurs secteurs industriels dans plus de 70 pays, y compris des organisations d’infrastructures critiques.
Les autres industries touchées comprennent les soins de santé, le gouvernement, l’éducation, la technologie, la fabrication et de nombreuses petites et moyennes entreprises.
« À partir du début de 2021, des acteurs fantômes ont commencé à attaquer les victimes dont les services Internet exécutaient des versions obsolètes de logiciels et de micrologiciels », ont déclaré la CISA, le FBI et le Centre d’analyse et de partage d’informations multi-États (MS-ISAC) dans un avis conjoint publié mercredi.
« Ce ciblage aveugle des réseaux contenant des vulnérabilités a conduit à la compromission d’organisations dans plus de 70 pays, y compris des organisations en Chine. »
Les opérateurs de ransomwares fantômes font fréquemment pivoter leurs exécutables de logiciels malveillants, modifient les extensions de fichiers des fichiers cryptés, modifient le contenu de leurs notes de rançon et utilisent plusieurs adresses e-mail pour les communications de rançon, ce qui a souvent conduit à une attribution fluctuante du groupe au fil du temps.
Les noms liés à ce groupe incluent Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada et Rapture, avec des échantillons de ransomwares utilisés dans leurs attaques, y compris Cring.exe, Fantôme.exe, Élyséen.exe, et casier.exé.
Ce groupe de ransomwares motivé financièrement exploite le code accessible au public pour exploiter les failles de sécurité des serveurs vulnérables. Ils ciblent les vulnérabilités non corrigées dans Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) et Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Pour se défendre contre les attaques fantômes de ransomwares, il est conseillé aux défenseurs du réseau de prendre les mesures suivantes:
- Effectuez des sauvegardes système régulières et hors site qui ne peuvent pas être cryptées par un ransomware,
- Corrigez les vulnérabilités du système d’exploitation, du logiciel et du micrologiciel dès que possible,
- Concentrez-vous sur les failles de sécurité ciblées par les ransomwares fantômes (CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207),
- Segmenter les réseaux pour limiter les mouvements latéraux des appareils infectés,
- Appliquez une authentification multifacteur (MFA) résistante au phishing pour tous les comptes privilégiés et les comptes de services de messagerie.
Juste après qu’Amigo_A et l’équipe CSIRT de Swisscom ont repéré pour la première fois Ghost ransomware au début de 2021, leurs opérateurs déposaient des échantillons Mimikatz personnalisés, suivis de balises CobaltStrike, et déployaient des charges utiles de ransomware à l’aide du gestionnaire de certificats Windows CertUtil légitime pour contourner le logiciel de sécurité.
En plus d’être exploités pour un accès initial dans des attaques de ransomware fantômes, des groupes de piratage soutenus par l’État qui ont analysé les appliances VPN SSL Fortinet vulnérables ont également ciblé la vulnérabilité CVE-2018-13379.
Les attaquants ont également abusé de la même vulnérabilité de sécurité pour violer les systèmes de soutien électoral américains exposés à Internet accessibles sur Internet.
Fortinet a averti les clients de patcher leurs appliances VPN SSL contre CVE-2018-13379 à plusieurs reprises en août 2019, juillet 2020, novembre 2020 et à nouveau en avril 2021.
L’avis conjoint publié aujourd’hui par la CISA, le FBI et MS-ISAC comprend également des indicateurs de compromission (IOC), des tactiques, des techniques et des procédures (TTP) et des méthodes de détection liées à une précédente activité de ransomware Fantôme identifiée lors des enquêtes du FBI aussi récemment qu’en janvier 2025.