Infraestructura crítica dels EUA atacada agressivament per Phobos Ransomware

Les autoritats nord-americanes estan fent sonar l'alarma sobre l'orientació cada cop més agressiva de la infraestructura crítica per part del ransomware Phobos , un programari maliciós dissenyat per xifrar fitxers i extorsionar diners a les víctimes. Aquesta advertència, emesa per agències clau de ciberseguretat i intel·ligència, com ara la Ciberseguretat i l'Agència de Seguretat de la Infraestructura (CISA), l'FBI i el Centre d'anàlisi i intercanvi d'informació multiestatal (MS-ISAC), posa de manifest la greu amenaça que suposa aquesta forma de cibercrim.

Funcionant sota un model de ransomware com a servei (RaaS), el ransomware Phobos ha estat implicat en atacs a diverses entitats, com ara governs municipals i comarcals, serveis d'emergència, institucions educatives, instal·lacions sanitàries públiques i infraestructures fonamentals. Els autors han aconseguit extreure milions de dòlars en pagaments de rescat de les seves víctimes.

La campanya de ransomware Phobos, activa des del maig de 2019, ha generat múltiples variants, com ara Eking, Eight, Elbie, Devos, Faust i Backmydata. Aquestes variants s'han utilitzat en atacs de motivació financera, tal com va revelar Cisco Talos a finals de l'any passat.

L'evidència suggereix que les operacions de ransomware Phobos es gestionen de manera centralitzada, amb una autoritat de control que té la clau de desxifrat, afegint una capa de complexitat als esforços de recuperació de les organitzacions afectades.

El modus operandi dels atacs de Phobos normalment implica l'accés inicial a través de correus electrònics de pesca o l'explotació de vulnerabilitats en els serveis de protocol d'escriptori remot (RDP). Un cop dins d'una xarxa, els actors de l'amenaça despleguen eines i tècniques addicionals per mantenir la persistència, eludir la detecció i augmentar els privilegis. S'ha observat que utilitzen les funcions integrades de Windows per robar credencials, eludir els controls de seguretat i augmentar els privilegis.

A més, el grup que hi ha darrere del ransomware Phobos és capaç d'utilitzar eines de codi obert com Bloodhound i Sharphound per recopilar informació sobre estructures de directoris actives, facilitant els seus moviments dins de xarxes compromeses. També utilitzen mètodes d'exfiltració de fitxers i suprimeixen còpies d'ombra de volum per dificultar els esforços de recuperació.

La gravetat dels atacs de ransomware es subratlla amb incidents recents com l'assalt coordinat descrit per Bitdefender, on diverses empreses van ser atacades simultàniament per un grup conegut com CACTUS. Aquest atac, caracteritzat per la seva naturalesa sincronitzada i multifacètica, va explotar vulnerabilitats a la infraestructura de virtualització, cosa que indica un abast cada cop més gran d'objectius per als actors de ransomware.

Malgrat els incentius financers per als actors de les amenaces, el pagament de rescats no garanteix la recuperació segura de les dades ni la immunitat davant atacs futurs. Les dades de Cybereason revelen una tendència preocupant en què una majoria significativa de les organitzacions atacades una vegada acaben sent atacades de nou, sovint pel mateix adversari, i de vegades es veuen obligades a pagar sumes encara més altes.

A mesura que els atacs de ransomware continuen evolucionant en sofisticació i impacte, reforçar les mesures de ciberseguretat i adoptar estratègies de defensa proactives esdevé primordial tant per a les organitzacions com per als governs.