Phobos Ransomwaren aggressiivisesti kohdistama Yhdysvaltain kriittinen infrastruktuuri

Yhdysvaltain viranomaiset antavat hälytystä Phobos ransomwaren , haittaohjelmiston, joka on suunniteltu salaamaan tiedostoja ja kiristämään rahaa uhreilta, kohdistamasta yhä aggressiivisempaan kriittiseen infrastruktuuriin. Tämä tärkeimpien kyberturvallisuus- ja tiedusteluvirastojen, mukaan lukien Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA), FBI ja Multi-State Information Sharing and Analysis Center (MS-ISAC) antama varoitus korostaa tämän muodon aiheuttamaa vakavaa uhkaa. tietoverkkorikollisuutta.

RaaS-mallilla (ransomware-as-a-service) toimiva Phobos ransomware on osallisena hyökkäyksissä eri tahoille, kuten kunnallis- ja maakuntahallituksiin, hätäpalveluihin, oppilaitoksiin, julkisiin terveydenhuoltolaitoksiin ja kriittiseen infrastruktuuriin. Tekijät ovat onnistuneet saamaan uhreilta miljoonia dollareita lunnaita.

Toukokuusta 2019 lähtien aktiivinen Phobos ransomware -kampanja on synnyttänyt useita muunnelmia, mukaan lukien Eking, Eight, Elbie, Devos, Faust ja Backmydata. Näitä muunnelmia on käytetty taloudellisesti motivoituneissa hyökkäyksissä, kuten Cisco Talos paljasti viime vuoden lopulla.

Todisteet viittaavat siihen, että Phobos ransomware -toimintoja hallitaan keskitetysti, ja valvovalla viranomaisella on salauksenpurkuavain, mikä lisää monimutkaisempaa palautuspyrkimyksiä asianomaisille organisaatioille.

Phobos-hyökkäysten toimintatapaan kuuluu tyypillisesti ensimmäinen pääsy tietojenkalasteluviestien kautta tai Remote Desktop Protocol (RDP) -palveluiden haavoittuvuuksien hyödyntäminen. Verkon sisällä uhkatekijät ottavat käyttöön lisätyökaluja ja tekniikoita pysyvyyden ylläpitämiseksi, havaitsemisen välttämiseksi ja oikeuksien laajentamiseksi. Heidän on havaittu käyttävän Windowsin sisäänrakennettuja toimintoja valtuustietojen varastamiseen, suojaustoimintojen ohittamiseen ja oikeuksien laajentamiseen.

Lisäksi Phobos ransomwaren takana oleva ryhmä on taitava käyttämään avoimen lähdekoodin työkaluja, kuten Bloodhound ja Sharphound, keräämään tietoa aktiivisista hakemistorakenteista, mikä helpottaa niiden liikkumista vaarantuneissa verkoissa. Ne käyttävät myös tiedostojen suodatusmenetelmiä ja poistavat varjokopioita palauttamisen estämiseksi.

Kiristysohjelmahyökkäysten vakavuutta korostavat viimeaikaiset tapahtumat, kuten Bitdefenderin kuvaama koordinoitu hyökkäys, jossa CACTUS-niminen ryhmä joutui samanaikaisesti useiden yritysten kohteeksi. Tämä hyökkäys, jolle on tunnusomaista sen synkronoitu ja monipuolinen luonne, hyödynsi virtualisointiinfrastruktuurin haavoittuvuuksia, mikä osoitti kiristyshaittaohjelmien kohteiden laajenemista.

Huolimatta uhkatekijöiden taloudellisista kannustimista, lunnaiden maksaminen ei takaa tietojen turvallista palautumista tai immuniteettia tulevia hyökkäyksiä vastaan. Cybereasonin tiedot paljastavat huolestuttavan trendin, jossa merkittävä enemmistö kerran hyökkäyksen kohteena olevista organisaatioista päätyy uudelleen usein saman vihollisen kohteeksi, ja joskus heidät pakotetaan maksamaan vielä suurempiakin summia.

Kun kiristysohjelmahyökkäykset kehittyvät jatkuvasti ja kehittyvät jatkuvasti, kyberturvallisuustoimenpiteiden vahvistaminen ja ennakoivien puolustusstrategioiden omaksuminen ovat ensiarvoisen tärkeitä sekä organisaatioille että hallituksille.