CISA dan FBI mengungkapkan bahwa kelompok peretas yang menyebarkan ransomware Ghost telah menyerang korban di lebih dari 70 negara, sasarannya meliputi sektor infrastruktur kritis, kesehatan, pemerintahan, pendidikan, teknologi, dan manufaktur. Serangan dimulai sejak awal 2021, menargetkan korban dengan perangkat lunak dan firmware yang usang. Ransomware Ghost sering mengubah eksekusi malware dan menggunakan berbagai alamat email untuk komunikasi tebusan, yang menyebabkan atribusi yang berubah-ubah terhadap kelompok ini.
Kelompok ini memanfaatkan kerentanan yang terdapat pada Fortinet, ColdFusion, dan Exchange untuk mengeksploitasi server rentan. Setelah ditemukan pada 2021, operator Ghost menggunakan teknik untuk melewati perangkat lunak keamanan dengan Mimikatz dan CobaltStrike. Serangan ini juga mencakup eksploitasi kerentanannya CVE-2018-13379 pada perangkat Fortinet dan sistem pendukung pemilu AS.
Rilis yang dikeluarkan oleh CISA, FBI, dan MS-ISAC beberapa waktu lalu mencakup indikator kompromi (IOCs), taktik, teknik, dan prosedur (TTPs), serta metode deteksi yang terkait dengan aktivitas ransomware Ghost sebelumnya yang teridentifikasi selama penyelidikan FBI pada Januari 2025. Untuk melindungi diri dari serangan ransomware Ghost, pengelola jaringan disarankan untuk mengambil tindakan berikut:
- Lakukan cadangan sistem secara rutin dan off-site yang tidak dapat dienkripsi oleh ransomware;
- Segera pasang patch pada kerentanannya di sistem operasi, perangkat lunak, dan firmware;
- Fokus pada kerentanan yang menjadi sasaran ransomware Ghost (misalnya, CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207);
- Segmentasikan jaringan untuk membatasi pergerakan lateral dari perangkat yang terinfeksi; dan
- Terapkan autentikasi multi-faktor yang tahan terhadap phishing (MFA) untuk semua akun dengan hak akses istimewa dan akun layanan email.