Les acteurs à l’origine de la souche de ransomware Ghost (Cring) ont des visées financières et ciblent des vulnérabilités connues et non patchées avec des codes d’exploitation accessibles au public. L’avis de la CISA indique que le groupe a revendiqué des cibles dans plus de 70 pays et que sa liste d’exploits comprend deux vulnérabilités ColdFusion (CVE-2010-2861 et CVE-2009-3960) qui ont été exploitées avec succès pour infecter des machines avec le ransomware Ghost. Malgré l’ancienneté de ces vulnérabilités, les attaquants continuent de trouver des machines non corrigées à attaquer avec succès.

« Tenable Research a analysé un petit échantillon de machines et a constaté que 74 % d’entre eux ne sont toujours pas corrigés pour la CVE-2010-2861, tandis que la CVE-2009-3960 n’a guère progressé avec près de 67 % de ces appareils non corrigés. Tenable Research a également constaté que le trio de vulnérabilités ProxyShell affectant Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) affichait de meilleurs résultats avec plus de 55 % de taux de corrections de ces vulnérabilités et ce, sur un échantillon beaucoup plus large. Bien que la taille des échantillons reste faible, l’impact potentiel n’en est pas moins important. Les cyberattaquants ont démontré à maintes reprises qu’ils sont tenaces et qu’ils exploiteront ces vulnérabilités non corrigées, quel que soit le secteur d’activité ou l’importance de l’organisation victime.