A CISA e o FBI emitiram um alerta conjunto sobre o Ghost ransomware, um grupo de cibercriminosos que já comprometeu organizações em mais de 70 países. O ataque afeta infraestruturas críticas, além de setores como saúde, governo, educação, tecnologia, manufatura e pequenas e médias empresas. Os operadores do Ghost ransomware adotam táticas avançadas para evitar rastreamento, incluindo a frequente rotação dos executáveis do malware, mudança das extensões dos arquivos criptografados e modificação do conteúdo das notas de resgate.

Os ataques exploram falhas de segurança conhecidas em servidores desatualizados, incluindo vulnerabilidades no Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) e Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Para maximizar os danos, os hackers usam códigos públicos disponíveis para explorar essas falhas e garantir acesso aos sistemas das vítimas.

Além de ser usado para acessar redes empresariais, o Ghost ransomware também foi empregado por grupos de hackers patrocinados por Estados para atacar sistemas críticos nos EUA, incluindo infraestruturas eleitorais expostas à internet. A falha CVE-2018-13379 no Fortinet SSL VPN, por exemplo, foi repetidamente explorada por hackers mesmo após alertas da Fortinet, que recomendou a correção do problema diversas vezes entre 2019 e 2021.