Il est conseillé aux entreprises de mettre constamment à jour leurs applications et logiciels et de corriger les vulnérabilités connues du réseau pour éviter de telles attaques.

Un groupe de ransomware appelé « Ghost » exploite les vulnérabilités du réseau de diverses organisations pour accéder à leurs systèmes, selon un avis conjoint publié par plusieurs agences fédérales américaines.« Début 2021, des acteurs fantômes ont commencé à attaquer les victimes dont les services Internet exécutaient des versions obsolètes de logiciels et de micrologiciels », a déclaré l’Agence de cybersécurité et de sécurité des infrastructures (CISA) dans l’avis conjoint du 19 février . « Les acteurs fantômes, situés en Chine, mènent ces attaques à grande échelle pour obtenir des gains financiers. »

Les attaques ont ciblé des écoles et des universités, des réseaux gouvernementaux, des infrastructures critiques, des entreprises technologiques et manufacturières, des soins de santé et plusieurs petites et moyennes entreprises.

« Ce ciblage aveugle de réseaux contenant des vulnérabilités a conduit à la compromission d’organisations dans plus de 70 pays, y compris des organisations en Chine », ont déclaré la CISA, le FBI et le Multi-State Information Sharing and Analysis Center dans l’avis.

Les acteurs fantômes sont également associés à d’autres noms tels que Cring, Crypt3r, HsHarada, Hello, Wickrme, Phantom, Rapture et Strike.

Les criminels utilisent un code accessible au public pour exploiter les « vulnérabilités et les vulnérabilités courantes » de leurs cibles afin de sécuriser l’accès aux serveurs. Ils exploitent les vulnérabilités des serveurs exécutant Adobe ColdFusion, Microsoft Exchange et Microsoft SharePoint.

Les auteurs de menaces utilisent des outils pour « collecter des mots de passe et/ou des hachages de mots de passe afin de les aider à se connecter sans autorisation et à augmenter leurs privilèges ou à se connecter à d’autres appareils de leurs victimes », peut-on lire dans l’avertissement. Les attaquants ne passent généralement que quelques jours sur les réseaux de leurs cibles.

L’avis recommande aux organisations de corriger les vulnérabilités connues du réseau en appliquant des « mises à jour de sécurité opportunes » aux micrologiciels, aux logiciels et aux systèmes d’exploitation.

Les entreprises doivent former les utilisateurs à reconnaître les tentatives de phishing, a-t-il ajouté. Les entités doivent identifier, enquêter et émettre des alertes concernant toute « activité réseau anormale ».

« Maintenez des sauvegardes régulières du système, dont vous savez qu’elles sont bonnes et stockées hors ligne ou segmentées à partir des systèmes sources », ajoute l’avis.« Les victimes du ransomware Ghost dont les sauvegardes n’ont pas été affectées par l’attaque ont souvent pu restaurer leurs opérations sans avoir besoin de contacter les acteurs de Ghost ou de payer une rançon. »

Pré-positionnement par la Chine

L’avis a été publié dans le cadre d’un effort continu visant à contrer les menaces de ransomware.La CISA a déjà émis des avertissements concernant les cybermenaces chinoises qui pèsent sur les États-Unis. Les cyberacteurs parrainés par l’État chinois cherchent à se positionner en amont sur les réseaux informatiques pour mener des « cyberattaques perturbatrices ou destructrices » contre les infrastructures américaines critiques au cas où Pékin s’engagerait dans un conflit avec Washington, indique l’agence .

Volt Typhoon, un cyber-acteur sponsorisé par Pékin, a compromis les environnements informatiques de plusieurs organisations d’infrastructures critiques dans des secteurs tels que l’énergie, les transports, les communications et les systèmes d’eau.

En novembre, la CISA et le FBI ont détaillé une campagne de « cyberespionnage de grande envergure » menée par des pirates informatiques chinois qui ont compromis les réseaux de fournisseurs de télécommunications américains.

Les pirates informatiques ont volé les enregistrements d’appels de clients et les communications privées d’« un nombre limité d’individus principalement impliqués dans des activités gouvernementales ou politiques ».

Le représentant Mark Green (R-Tenn.), président de la commission de la sécurité intérieure de la Chambre des représentants, a déclaré que « l’exploitation par le Parti communiste chinois des vulnérabilités des principaux fournisseurs de services Internet n’est que la dernière alarme en date à sonner alors que Pékin, Téhéran et Moscou s’efforcent d’obtenir des avantages stratégiques par le biais du cyberespionnage, de la manipulation et de la destruction ».

Voir l’article original cliquez ci-dessous :