Критичната инфраструктура на САЩ е агресивно насочена от Phobos Ransomware

Американските власти бият тревога за все по-агресивното насочване към критична инфраструктура от Phobos ransomware , злонамерен софтуер, предназначен да криптира файлове и да изнудва пари от жертвите. Това предупреждение, издадено от ключови агенции за киберсигурност и разузнаване, включително Агенцията за киберсигурност и сигурност на инфраструктурата на САЩ (CISA), ФБР и Центъра за споделяне и анализ на информация между държавите (MS-ISAC), подчертава сериозната заплаха, породена от тази форма на киберпрестъпност.

Работейки по модел на рансъмуер като услуга (RaaS), софтуерът за откуп Phobos е замесен в атаки срещу различни субекти като общински и окръжни правителства, служби за спешна помощ, образователни институции, обществени здравни заведения и критична инфраструктура. Извършителите са успели да измъкнат милиони долари под формата на откуп от жертвите си.

Кампанията за рансъмуер Phobos, активна от май 2019 г., породи множество варианти, включително Eking, Eight, Elbie, Devos, Faust и Backmydata. Тези варианти са били използвани във финансово мотивирани атаки, както разкри Cisco Talos в края на миналата година.

Доказателствата сочат, че операциите на Phobos ransomware се управляват централно, като контролният орган държи ключа за декриптиране, добавяйки ниво на сложност към усилията за възстановяване на засегнатите организации.

Начинът на действие на Phobos атаките обикновено включва първоначален достъп чрез фишинг имейли или използване на уязвимости в услугите на протокола за отдалечен работен плот (RDP). Веднъж влезли в мрежата, участниците в заплахата внедряват допълнителни инструменти и техники за поддържане на устойчивост, избягване на откриване и ескалиране на привилегии. Те са наблюдавани да използват вградени функции на Windows за кражба на идентификационни данни, заобикаляне на контролите за сигурност и ескалиране на привилегии.

Освен това групата зад рансъмуера Phobos е умела да използва инструменти с отворен код като Bloodhound и Sharphound за събиране на информация за структурите на активната директория, улеснявайки движението им в компрометирани мрежи. Те също така използват методи за ексфилтриране на файлове и изтриват сенчести копия на томове, за да възпрепятстват усилията за възстановяване.

Сериозността на атаките на ransomware се подчертава от скорошни инциденти като координираното нападение, описано от Bitdefender, където множество компании бяха атакувани едновременно от група, известна като CACTUS. Тази атака, характеризираща се със своя синхронизиран и многостранен характер, използва уязвимости в инфраструктурата за виртуализация, което показва разширяване на обхвата на целите за участниците в ransomware.

Въпреки финансовите стимули за заплахите, плащането на откупи не гарантира безопасно възстановяване на данни или имунитет от бъдещи атаки. Данните на Cybereason разкриват тревожна тенденция, при която значително мнозинство от организациите, атакувани веднъж, се оказват отново насочени, често от същия противник, и понякога са принудени да плащат дори по-високи суми.

Тъй като атаките на ransomware продължават да се развиват по усъвършенстване и въздействие, укрепването на мерките за киберсигурност и приемането на проактивни стратегии за защита стават от първостепенно значение както за организациите, така и за правителствата.