البنية التحتية الحيوية في الولايات المتحدة تتعرض لاستهداف شديد من قبل Phobos Ransomware

تدق السلطات الأمريكية ناقوس الخطر بشأن الاستهداف العدواني المتزايد للبنية التحتية الحيوية بواسطة برنامج الفدية Phobos ، وهو برنامج ضار مصمم لتشفير الملفات وابتزاز الأموال من الضحايا. هذا التحذير، الصادر عن وكالات الأمن السيبراني والاستخبارات الرئيسية، بما في ذلك وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، ومكتب التحقيقات الفيدرالي، ومركز تبادل المعلومات وتحليلها (MS-ISAC)، يسلط الضوء على التهديد الخطير الذي يشكله هذا النوع من الهجمات. الجريمة الإلكترونية.

تعمل برامج الفدية Phobos وفقًا لنموذج برامج الفدية كخدمة (RaaS)، وقد تورطت في هجمات على كيانات مختلفة مثل حكومات البلديات والمقاطعات، وخدمات الطوارئ، والمؤسسات التعليمية، ومرافق الرعاية الصحية العامة، والبنية التحتية الحيوية. وتمكن الجناة من انتزاع ملايين الدولارات من مدفوعات الفدية من ضحاياهم.

أنتجت حملة Phobos Ransomware، النشطة منذ مايو 2019، العديد من المتغيرات بما في ذلك Eking، وEight، وElbie، وDevos، وFaust، وBackmydata. وقد تم استخدام هذه المتغيرات في هجمات ذات دوافع مالية، كما كشفت عنها شركة Cisco Talos في أواخر العام الماضي.

تشير الأدلة إلى أن عمليات برنامج الفدية Phobos تتم إدارتها مركزيًا، مع وجود سلطة مسيطرة تحمل مفتاح فك التشفير، مما يضيف طبقة من التعقيد إلى جهود الاسترداد للمؤسسات المتضررة.

تتضمن طريقة عمل هجمات Phobos عادةً الوصول الأولي من خلال رسائل البريد الإلكتروني التصيدية أو استغلال الثغرات الأمنية في خدمات بروتوكول سطح المكتب البعيد (RDP). بمجرد الدخول إلى الشبكة، تقوم الجهات الفاعلة في مجال التهديد بنشر أدوات وتقنيات إضافية للحفاظ على الثبات وتجنب الاكتشاف وتصعيد الامتيازات. وقد لوحظ أنهم يستخدمون وظائف Windows المضمنة لسرقة بيانات الاعتماد وتجاوز ضوابط الأمان وتصعيد الامتيازات.

علاوة على ذلك، فإن المجموعة التي تقف وراء برنامج الفدية Phobos ماهرة في استخدام أدوات مفتوحة المصدر مثل Bloodhound وSharphound لجمع معلومات حول هياكل الدليل النشط، وتسهيل تحركاتها داخل الشبكات المعرضة للخطر. كما أنهم يستخدمون أيضًا أساليب استخراج الملفات ويحذفون النسخ الاحتياطية لعرقلة جهود الاسترداد.

وقد تم التأكيد على خطورة هجمات برامج الفدية من خلال الحوادث الأخيرة مثل الهجوم المنسق الذي وصفه Bitdefender، حيث تم استهداف العديد من الشركات في وقت واحد من قبل مجموعة تعرف باسم CACTUS. وقد استغل هذا الهجوم، الذي يتميز بطبيعته المتزامنة والمتعددة الأوجه، نقاط الضعف في البنية التحتية الافتراضية، مما يشير إلى اتساع نطاق أهداف الجهات الفاعلة في برامج الفدية.

وعلى الرغم من الحوافز المالية المقدمة للجهات الفاعلة في مجال التهديد، فإن دفع الفدية لا يضمن الاسترداد الآمن للبيانات أو الحصانة من الهجمات المستقبلية. تكشف بيانات Cybereason عن اتجاه مثير للقلق حيث ينتهي الأمر بأغلبية كبيرة من المنظمات التي تعرضت للهجوم مرة واحدة إلى أن يتم استهدافها مرة أخرى، غالبًا من قبل نفس الخصم، ويتم إجبارها في بعض الأحيان على دفع مبالغ أعلى.

مع استمرار تطور هجمات برامج الفدية من حيث التعقيد والتأثير، أصبح تعزيز تدابير الأمن السيبراني واعتماد استراتيجيات دفاع استباقية أمرًا بالغ الأهمية بالنسبة للمؤسسات والحكومات على حدٍ سواء.