Phobos Ransomware agresivno napada kritičnu infrastrukturu SAD-a

Američke vlasti oglašavaju uzbunu zbog sve agresivnijeg ciljanja kritične infrastrukture Phobos ransomwarea , zlonamjernog softvera dizajniranog za šifriranje datoteka i iznuđivanje novca od žrtava. Ovo upozorenje, koje su izdale ključne agencije za kibernetičku sigurnost i obavještajne službe, uključujući američku Agenciju za kibernetičku sigurnost i sigurnost infrastrukture (CISA), FBI i Višedržavni centar za razmjenu i analizu informacija (MS-ISAC), naglašava ozbiljnu prijetnju koju predstavlja ovaj oblik kibernetički kriminal.

Djelujući prema modelu ransomware-as-a-service (RaaS), Phobos ransomware je umiješan u napade na razne subjekte kao što su općinske i županijske vlade, hitne službe, obrazovne ustanove, javne zdravstvene ustanove i kritična infrastruktura. Počinitelji su od svojih žrtava uspjeli izvući milijune dolara otkupnine.

Kampanja ransomwarea Phobos, aktivna od svibnja 2019., iznjedrila je više varijanti uključujući Eking, Eight, Elbie, Devos, Faust i Backmydata. Ove su varijante korištene u financijski motiviranim napadima, kako je otkrio Cisco Talos krajem prošle godine.

Dokazi upućuju na to da se operacijama ransomwarea Phobos upravlja centralno, s nadzornim tijelom koje drži ključ za dešifriranje, dodajući sloj složenosti naporima oporavka za pogođene organizacije.

Modus operandi Phobos napada obično uključuje početni pristup putem phishing e-pošte ili iskorištavanje ranjivosti u uslugama Remote Desktop Protocol (RDP). Jednom kada uđu u mrežu, akteri prijetnje postavljaju dodatne alate i tehnike za održavanje postojanosti, izbjegavanje otkrivanja i eskalaciju privilegija. Uočeno je da koriste ugrađene funkcije sustava Windows za krađu vjerodajnica, zaobilaženje sigurnosnih kontrola i eskalaciju privilegija.

Štoviše, grupa koja stoji iza Phobos ransomwarea vješta je u korištenju alata otvorenog koda kao što su Bloodhound i Sharphound za prikupljanje informacija o strukturama aktivnog imenika, olakšavajući njihovo kretanje unutar ugroženih mreža. Oni također koriste metode eksfiltracije datoteka i brišu kopije u sjeni volumena kako bi spriječili napore oporavka.

Ozbiljnost napada ransomwarea naglašena je nedavnim incidentima poput koordiniranog napada koji je opisao Bitdefender, gdje je grupa poznata kao CACTUS na meti više tvrtki. Ovaj napad, karakteriziran svojom sinkroniziranom i višestranom prirodom, iskorištavao je ranjivosti u virtualizacijskoj infrastrukturi, što ukazuje na sve veći opseg ciljeva za aktere ransomwarea.

Unatoč financijskim poticajima za aktere prijetnji, plaćanje otkupnine ne jamči siguran oporavak podataka ili imunitet od budućih napada. Podaci Cybereasona otkrivaju zabrinjavajući trend u kojem značajna većina organizacija koje su jednom napadnute ponovno budu na meti, često od strane istog protivnika, a ponekad su prisiljene platiti čak i veće iznose.

Kako napadi ransomwarea nastavljaju evoluirati u sofisticiranosti i utjecaju, jačanje mjera kibernetičke sigurnosti i usvajanje proaktivnih obrambenih strategija postaje najvažnije za organizacije i vlade.