Η κρίσιμη υποδομή των ΗΠΑ στοχεύεται επιθετικά από το Phobos Ransomware

Οι αρχές των ΗΠΑ κρούουν τον κώδωνα του κινδύνου για την ολοένα και πιο επιθετική στόχευση κρίσιμων υποδομών από το ransomware Phobos , ένα κακόβουλο λογισμικό που έχει σχεδιαστεί για την κρυπτογράφηση αρχείων και την εκβίαση χρημάτων από τα θύματα. Αυτή η προειδοποίηση, που εκδόθηκε από βασικές υπηρεσίες κυβερνοασφάλειας και πληροφοριών, συμπεριλαμβανομένης της Υπηρεσίας Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), του FBI και του Κέντρου Διαμοιρασμού και Ανάλυσης Πληροφοριών πολλών Πολιτειών (MS-ISAC), υπογραμμίζει τη σοβαρή απειλή που δημιουργεί αυτή η μορφή κυβερνοέγκλημα.

Λειτουργώντας υπό ένα μοντέλο ransomware-as-a-service (RaaS), το ransomware Phobos έχει εμπλακεί σε επιθέσεις σε διάφορες οντότητες, όπως δημοτικές και νομαρχιακές αρχές, υπηρεσίες έκτακτης ανάγκης, εκπαιδευτικά ιδρύματα, δημόσιες εγκαταστάσεις υγειονομικής περίθαλψης και ζωτικής σημασίας υποδομές. Οι δράστες κατάφεραν να αποσπάσουν εκατομμύρια δολάρια ως λύτρα από τα θύματά τους.

Η εκστρατεία ransomware Phobos, η οποία είναι ενεργή από τον Μάιο του 2019, έχει δημιουργήσει πολλές παραλλαγές, συμπεριλαμβανομένων των Eking, Eight, Elbie, Devos, Faust και Backmydata. Αυτές οι παραλλαγές έχουν χρησιμοποιηθεί σε επιθέσεις με οικονομικά κίνητρα, όπως αποκάλυψε η Cisco Talos στα τέλη του περασμένου έτους.

Τα στοιχεία δείχνουν ότι οι λειτουργίες ransomware Phobos διαχειρίζονται κεντρικά, με μια αρχή ελέγχου που κρατά το κλειδί αποκρυπτογράφησης, προσθέτοντας ένα επίπεδο πολυπλοκότητας στις προσπάθειες ανάκτησης για τους επηρεαζόμενους οργανισμούς.

Ο τρόπος λειτουργίας των επιθέσεων Phobos περιλαμβάνει συνήθως την αρχική πρόσβαση μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος ή την εκμετάλλευση τρωτών σημείων σε υπηρεσίες πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Μόλις εισέλθουν σε ένα δίκτυο, οι φορείς απειλών αναπτύσσουν πρόσθετα εργαλεία και τεχνικές για να διατηρήσουν την επιμονή, να αποφύγουν τον εντοπισμό και να κλιμακώσουν τα προνόμια. Έχει παρατηρηθεί ότι χρησιμοποιούν ενσωματωμένες λειτουργίες των Windows για την κλοπή διαπιστευτηρίων, την παράκαμψη των ελέγχων ασφαλείας και την κλιμάκωση των προνομίων.

Επιπλέον, η ομάδα πίσω από το ransomware Phobos είναι έμπειρη στη χρήση εργαλείων ανοιχτού κώδικα όπως το Bloodhound και το Sharphound για τη συλλογή πληροφοριών σχετικά με τις δομές ενεργών καταλόγων, διευκολύνοντας τις κινήσεις τους μέσα σε παραβιασμένα δίκτυα. Χρησιμοποιούν επίσης μεθόδους εξαγωγής αρχείων και διαγράφουν σκιώδη αντίγραφα τόμου για να εμποδίσουν τις προσπάθειες ανάκτησης.

Η σοβαρότητα των επιθέσεων ransomware υπογραμμίζεται από πρόσφατα περιστατικά όπως η συντονισμένη επίθεση που περιγράφεται από το Bitdefender, όπου πολλές εταιρείες στοχοποιήθηκαν ταυτόχρονα από μια ομάδα γνωστή ως CACTUS. Αυτή η επίθεση, που χαρακτηρίζεται από τη συγχρονισμένη και πολύπλευρη φύση της, εκμεταλλεύτηκε τρωτά σημεία στην υποδομή εικονικοποίησης, υποδεικνύοντας ένα διευρυνόμενο εύρος στόχων για τους φορείς ransomware.

Παρά τα οικονομικά κίνητρα για τους παράγοντες απειλών, η πληρωμή λύτρων δεν εγγυάται την ασφαλή ανάκτηση δεδομένων ή την ασυλία από μελλοντικές επιθέσεις. Τα δεδομένα του Cybereason αποκαλύπτουν μια ανησυχητική τάση όπου μια σημαντική πλειονότητα των οργανισμών που δέχονται επίθεση μια φορά καταλήγουν να στοχοποιούνται ξανά, συχνά από τον ίδιο αντίπαλο, και μερικές φορές εξαναγκάζονται να πληρώσουν ακόμη υψηλότερα ποσά.

Καθώς οι επιθέσεις ransomware συνεχίζουν να εξελίσσονται σε πολυπλοκότητα και αντίκτυπο, η ενίσχυση των μέτρων κυβερνοασφάλειας και η υιοθέτηση προληπτικών στρατηγικών άμυνας καθίστανται υψίστης σημασίας τόσο για οργανισμούς όσο και για κυβερνήσεις.