תשתית קריטית בארה"ב ממוקדת בצורה אגרסיבית על ידי Phobos Ransomware

הרשויות בארה"ב משמיעות אזעקה על ההתמקדות האגרסיבית יותר ויותר של תשתית קריטית על ידי תוכנת הכופר של Phobos , תוכנה זדונית שנועדה להצפין קבצים ולסחוט כסף מקורבנות. אזהרה זו, שהונפקה על ידי סוכנויות אבטחת סייבר ומודיעין מרכזיות, כולל סוכנות הסייבר ותשתיות אבטחה (CISA), ה-FBI והמרכז לשיתוף וניתוח מידע רב-מדינות (MS-ISAC), מדגישה את האיום החמור הנשקף מצורה זו של פשע סייבר.

פועלת תחת מודל של תוכנת כופר כשירות (RaaS), תוכנת הכופר של Phobos הייתה מעורבת בהתקפות על גופים שונים כמו ממשלות עירוניות ומחוזיות, שירותי חירום, מוסדות חינוך, מתקני בריאות ציבוריים ותשתיות קריטיות. העבריינים הצליחו לחלץ מיליוני דולרים בתשלומי כופר מקורבנותיהם.

קמפיין תוכנת הכופר של Phobos, פעיל מאז מאי 2019, הוליד גרסאות מרובות כולל Eking, Eight, Elbie, Devos, Faust ו-Backmydata. גרסאות אלו הופעלו בהתקפות ממניעים פיננסיים, כפי שנחשף על ידי Cisco Talos בסוף השנה שעברה.

הראיות מצביעות על כך שפעולות תוכנת הכופר של Phobos מנוהלות באופן מרכזי, כאשר רשות בקרה מחזיקה במפתח הפענוח, מה שמוסיף שכבה של מורכבות למאמצי השחזור של ארגונים מושפעים.

אופן הפעולה של התקפות Phobos כרוך בדרך כלל בגישה ראשונית באמצעות מיילים דיוגים או ניצול פגיעויות בשירותי Remote Desktop Protocol (RDP). ברגע שהם נכנסים לרשת, גורמי האיום פורסים כלים וטכניקות נוספות כדי לשמור על התמדה, להתחמק מזיהוי ולהסלים הרשאות. הם נצפו תוך שימוש בפונקציות מובנות של Windows כדי לגנוב אישורים, לעקוף בקרות אבטחה ולהסלים הרשאות.

יתרה מכך, הקבוצה שמאחורי תוכנת הכופר של Phobos מיומנת בשימוש בכלי קוד פתוח כמו Bloodhound ו-Sharphound כדי לאסוף מידע על מבני ספריות פעילים, מה שמקל על תנועותיהם בתוך רשתות שנפגעו. הם גם משתמשים בשיטות חילוף קבצים ומוחקים עותקי צל לנפח כדי להפריע למאמצי השחזור.

חומרת התקפות כופר מודגשת על ידי תקריות אחרונות כמו התקיפה המתואמת שתוארה על ידי Bitdefender, שבה חברות מרובות היו ממוקדות בו זמנית על ידי קבוצה הידועה בשם CACTUS. מתקפה זו, המאופיינת באופי המסונכרן והרב-גוני שלה, ניצלה נקודות תורפה בתשתית הווירטואליזציה, מה שמעיד על הרחבה של היקף יעדים עבור שחקני תוכנות כופר.

למרות התמריצים הכספיים לגורמי איומים, תשלום כופר אינו מבטיח שחזור בטוח של נתונים או חסינות מפני התקפות עתידיות. הנתונים של Cybereason חושפים מגמה מטרידה שבה רוב משמעותי של ארגונים שהותקפו פעם אחת בסופו של דבר ממוקדים שוב, לעתים קרובות על ידי אותו יריב, ולעיתים נאלצים לשלם סכומים גבוהים עוד יותר.

ככל שהתקפות תוכנות כופר ממשיכות להתפתח בתחכום ובהשפעה, חיזוק אמצעי אבטחת הסייבר ואימוץ אסטרטגיות הגנה פרואקטיביות הופכים לחשיבות עליונה עבור ארגונים וממשלות כאחד.