Phobos Ransomware'i poolt agressiivselt sihitud USA kriitiline infrastruktuur

USA võimud löövad häirekella kriitilise infrastruktuuri üha agressiivsema sihtimise pärast Phobose lunavara , pahatahtliku tarkvara, mis on loodud failide krüpteerimiseks ja ohvritelt raha väljapressimiseks. See hoiatus, mille andsid välja peamised küberjulgeoleku- ja luureagentuurid, sealhulgas USA küberjulgeoleku ja infrastruktuuri turbeagentuur (CISA), FBI ja mitme osariigi teabejagamis- ja analüüsikeskus (MS-ISAC), rõhutab tõsist ohtu, mida selline küberkuritegevus.

Lunavara-teenusena (RaaS) mudeli alusel töötav Phobose lunavara on olnud seotud rünnakutega erinevatele üksustele, nagu kohalikud omavalitsused ja maavalitsused, hädaabiteenistused, haridusasutused, avalikud tervishoiuasutused ja kriitilise tähtsusega infrastruktuur. Kurjategijatel on õnnestunud oma ohvritelt välja võtta miljoneid dollareid lunaraha.

Alates 2019. aasta maist aktiivne Phobose lunavarakampaania on toonud kaasa mitu varianti, sealhulgas Eking, Eight, Elbie, Devos, Faust ja Backmydata. Neid variante on kasutatud rahaliselt motiveeritud rünnakutes, nagu näitas Cisco Talos eelmise aasta lõpus.

Tõendid viitavad sellele, et Phobose lunavara toiminguid hallatakse tsentraalselt ja dekrüpteerimisvõtit hoiab kontrolliv asutus, mis muudab mõjutatud organisatsioonide taastamispüüdlused keerukamaks.

Phobose rünnakute tööpõhimõte hõlmab tavaliselt esmast juurdepääsu andmepüügimeilide kaudu või kaugtöölauaprotokolli (RDP) teenuste turvaaukude ärakasutamist. Võrku sisenedes rakendavad ohus osalejad täiendavaid tööriistu ja tehnikaid, et säilitada püsivust, vältida tuvastamist ja suurendada privileege. On täheldatud, et nad kasutavad sisseehitatud Windowsi funktsioone mandaatide varastamiseks, turvakontrollidest mööda hiilimiseks ja õiguste suurendamiseks.

Veelgi enam, Phobose lunavara taga olev rühm oskab kasutada avatud lähtekoodiga tööriistu, nagu Bloodhound ja Sharphound, et koguda teavet aktiivsete kataloogistruktuuride kohta, hõlbustades nende liikumist ohustatud võrkudes. Nad kasutavad ka failide väljafiltreerimise meetodeid ja kustutavad helikoopiaid, et takistada taastamist.

Lunavararünnakute tõsidust rõhutavad hiljutised juhtumid, nagu Bitdefenderi kirjeldatud koordineeritud rünnak, kus CACTUSE nime all tuntud rühmitus võttis korraga sihikule mitu ettevõtet. See rünnak, mida iseloomustab selle sünkroniseeritud ja mitmetahuline olemus, kasutas ära virtualiseerimise infrastruktuuri haavatavusi, mis viitab lunavarategijate sihtmärkide laienemisele.

Hoolimata ohus osalejate rahalistest stiimulitest, ei taga lunaraha maksmine andmete turvalist taastamist ega puutumatust tulevaste rünnakute eest. Cybereasoni andmed näitavad murettekitavat suundumust, kus märkimisväärne enamus kord rünnatud organisatsioone satub uuesti sihikule, sageli sama vastase poolt, ja mõnikord sunnitakse neid maksma veelgi suuremaid summasid.

Kuna lunavararünnakud muutuvad üha keerukamaks ja mõjuvad, muutub küberjulgeolekumeetmete tugevdamine ja ennetavate kaitsestrateegiate kasutuselevõtt nii organisatsioonide kui ka valitsuste jaoks ülimalt tähtsaks.