Kritická infrastruktura USA je agresivně zacílena Phobos Ransomware

Americké úřady bijí na poplach kvůli stále agresivnějšímu zaměřování kritické infrastruktury ransomwarem Phobos , škodlivým softwarem určeným k šifrování souborů a vymáhání peněz od obětí. Toto varování vydané klíčovými agenturami pro kybernetickou bezpečnost a zpravodajskými službami, včetně Agentury pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), FBI a Střediska pro sdílení a analýzu více států (MS-ISAC), zdůrazňuje závažnou hrozbu, kterou tato forma počítačová kriminalita.

Phobos ransomware, který funguje na základě modelu ransomware-as-a-service (RaaS), byl zapojen do útoků na různé subjekty, jako jsou obecní a okresní vlády, záchranné služby, vzdělávací instituce, veřejná zdravotnická zařízení a kritická infrastruktura. Pachatelům se podařilo ze svých obětí vymámit miliony dolarů jako výkupné.

Ransomwarová kampaň Phobos, aktivní od května 2019, přinesla několik variant včetně Eking, Eight, Elbie, Devos, Faust a Backmydata. Tyto varianty byly použity ve finančně motivovaných útocích, jak koncem minulého roku odhalila společnost Cisco Talos.

Důkazy naznačují, že operace s ransomwarem Phobos jsou spravovány centrálně, přičemž dešifrovací klíč drží kontrolní orgán, což zvyšuje složitost úsilí o obnovu pro postižené organizace.

Modus operandi útoků Phobos obvykle zahrnuje počáteční přístup prostřednictvím phishingových e-mailů nebo zneužití zranitelných míst ve službách Remote Desktop Protocol (RDP). Jakmile se aktéři hrozeb dostanou do sítě, nasadí další nástroje a techniky k udržení stálosti, vyhnutí se detekci a eskalaci oprávnění. Bylo pozorováno, že využívají vestavěné funkce Windows ke krádeži přihlašovacích údajů, obcházení bezpečnostních kontrol a eskalaci oprávnění.

Skupina, která stojí za ransomwarem Phobos, je navíc zběhlá ve využívání nástrojů s otevřeným zdrojovým kódem, jako je Bloodhound a Sharphound, ke shromažďování informací o strukturách aktivních adresářů, což usnadňuje jejich pohyb v ohrožených sítích. Používají také metody exfiltrace souborů a odstraňují stínové kopie svazku, aby bránily úsilí o obnovu.

Závažnost ransomwarových útoků podtrhují nedávné incidenty, jako je koordinovaný útok popsaný Bitdefenderem, kdy se skupina známá jako CACTUS současně zaměřovala na více společností. Tento útok, charakteristický svou synchronizovanou a mnohostrannou povahou, využíval zranitelnosti virtualizační infrastruktury, což naznačuje rozšiřující se rozsah cílů pro aktéry ransomwaru.

Navzdory finančním pobídkám pro aktéry ohrožení nezaručuje placení výkupného bezpečné obnovení dat ani imunitu před budoucími útoky. Údaje společnosti Cybereason odhalují znepokojivý trend, kdy se významná většina organizací, které byly jednou napadeny, stane terčem znovu, často stejným protivníkem, a někdy jsou nuceny zaplatit ještě vyšší částky.

Vzhledem k tomu, že útoky ransomwaru se neustále vyvíjejí co do sofistikovanosti a dopadu, posílení kybernetických bezpečnostních opatření a přijetí proaktivních obranných strategií se stává prvořadým pro organizace i vlády.