Cybermenace : le ransomware Ghost a frappé des organisations dans 70 pays !
La CISA et le FBI, deux agences américaines, lancent une alerte sur le ransomware Ghost, qui a déjà compromis des organisations dans plus de 70 pays, y compris des infrastructures critiques. Faisons le point.
Ghost : une menace mondiale visant des secteurs variés
Le ransomware Ghost ne fait pas autant parler de lui que d'autres groupes comme LockBit, Conti et Cl0p. D'ailleurs, ce même groupe est difficile à suivre, car il change régulièrement de noms (et d'outils). Il est notamment connu sous les noms Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada et Rapture.
Aujourd'hui, le constat est clair : ce groupe est actif depuis plusieurs années et il a fait de nombreuses victimes à l'échelle mondiale. Selon l'alerte conjointe de la CISA, du FBI et du MS-ISAC (Multi-State Information Sharing and Analysis Center), ce gang de ransomware cible aussi bien des structures critiques que des organisations dans d'autres secteurs. Nous pouvons citer notamment les secteurs de la santé, l’éducation, la technologie, et l'industrie, que ce soit de grandes entreprises ou des PME.
Depuis début 2021, les cybercriminels de Ghost s'attaquant aux services exposés sur Internet, en ciblant les services vulnérables, et donc non protégés, contre des vulnérabilités connues. Autrement dit, il ne s'agit pas d'attaques ciblées, mais plutôt des opportunités. Cela explique aussi l'importante variété dans la liste des victimes.
"Ce ciblage aveugle des réseaux contenant des vulnérabilités a conduit à la compromission d'organisations dans plus de 70 pays, y compris en Chine.", peut-on lire dans le rapport publié par les agences américaines.
Ce même document donne justement une liste de vulnérabilités exploitées par Ghost :
- Fortinet : CVE-2018-13379
- ColdFusion : CVE-2010-2861, CVE-2009-3960
- Microsoft Exchange : CVE-2021-34473, CVE-2021-34523, CVE-2021-31207
Les pirates exploitent des vulnérabilités connues et corrigées depuis bien longtemps. Cette liste fait notamment référence aux vulnérabilités ProxyShell présentent dans Microsoft Exchange, la solution de serveur de messagerie de Microsoft. D'ailleurs, certaines failles de sécurité sont, chaque année, dans le top des vulnérabilités les plus exploitées : c'était déjà le cas en 2022 pour les failles ProxyShell.
Des mesures de défense habituelles
La liste des vulnérabilités citées dans cet article et là pour nous rappeler à quel point il est essentiel de maintenir à jour ses logiciels, services et firmwares. Il s'agit donc d'une mesure préventive évidente. En complément, la CISA et le FBI ont émis des recommandations habituelles pour se protéger des menaces. Parmi lesquelles :
- Limiter l'exposition des services sur Internet, et prioriser les accès distants sécurisés (VPN, par exemple).
- Effectuer des sauvegardes régulières et hors ligne pour limiter l'impact d'un ransomware.
- Appliquer les correctifs pour les failles connues (en particulier celles exploitées par Ghost).
- Segmenter les réseaux afin de limiter les déplacements latéraux des attaquants.
- Renforcer l’authentification avec l'authentification multi-facteurs (MFA), en priorité pour les comptes privilégiés et les services de messagerie.
- Former les utilisateurs pour qu'ils soient capables de reconnaître les tentatives d'hameçonnage.
- Surveiller l'utilisation non-autorisée de PowerShell, notamment puisque "les cybercriminels de Ghost utilisent PowerShell à des fins malveillantes, bien qu'il s'agisse souvent d'un outil utile utilisé par les administrateurs et les défenseurs pour gérer les systèmes."
Il ne faut pas oublier que le gang de ransomware Ghost n'est pas le seul groupe à exploiter ces vulnérabilités.