A Phobos Ransomware által agresszíven megcélzott amerikai kritikus infrastruktúra

Az amerikai hatóságok megkongatják a vészharangot a létfontosságú infrastruktúrák egyre agresszívebb megcélzása miatt, a Phobos ransomware nevű rosszindulatú szoftverrel, amelyet fájlok titkosítására és az áldozatoktól való pénz kicsikarására terveztek. Ez a figyelmeztetés, amelyet a kulcsfontosságú kiberbiztonsági és hírszerző ügynökségek, köztük az Egyesült Államok Kiberbiztonsági és Infrastruktúra Biztonsági Ügynöksége (CISA), az FBI, valamint a Több államra kiterjedő információmegosztó és elemző központ (MS-ISAC) adtak ki, rávilágít az ilyen jellegű veszélyekre. kiberbűnözés.

A ransomware-as-a-service (RaaS) modell alapján működő Phobos ransomware számos szervezet, például önkormányzatok és megyei önkormányzatok, sürgősségi szolgálatok, oktatási intézmények, közegészségügyi intézmények és kritikus infrastruktúra elleni támadásokban vesz részt. Az elkövetőknek több millió dolláros váltságdíjat sikerült kiszedniük áldozataiktól.

A 2019 májusa óta aktív Phobos ransomware kampány számos változatot hozott létre, köztük az Eking, Eight, Elbie, Devos, Faust és Backmydata. Ezeket a változatokat pénzügyileg motivált támadásoknál alkalmazták, amint azt a Cisco Talos felfedte tavaly év végén.

A bizonyítékok arra utalnak, hogy a Phobos ransomware-műveleteit központilag kezelik, és egy ellenőrző hatóság birtokolja a visszafejtési kulcsot, ami bonyolultabbá teszi az érintett szervezetek helyreállítási erőfeszítéseit.

A Phobos támadások működési módja jellemzően az adathalász e-maileken keresztül történő kezdeti hozzáférés vagy a Remote Desktop Protocol (RDP) szolgáltatások sebezhetőségeinek kihasználása. A hálózaton belül a fenyegetés szereplői további eszközöket és technikákat alkalmaznak a tartósság fenntartása, az észlelés elkerülése és a jogosultságok kiterjesztése érdekében. Megfigyelték, hogy beépített Windows-funkciókat használnak a hitelesítő adatok ellopására, a biztonsági ellenőrzések megkerülésére és a jogosultságok kiterjesztésére.

Ezenkívül a Phobos ransomware mögött álló csoport ügyesen használja a nyílt forráskódú eszközöket, például a Bloodhoundot és a Sharphoundot, hogy információkat gyűjtsön az aktív címtárstruktúrákról, megkönnyítve ezáltal azok mozgását a veszélyeztetett hálózatokon belül. Fájlkiszűrési módszereket is alkalmaznak , és törlik a kötet árnyékmásolatait, hogy akadályozzák a helyreállítási erőfeszítéseket.

A ransomware támadások súlyosságát alátámasztják a közelmúltbeli incidensek, például a Bitdefender által leírt koordinált támadás, ahol egyszerre több vállalatot is célba vett a CACTUS néven ismert csoport. Ez a szinkronizált és sokrétű természetével jellemezhető támadás a virtualizációs infrastruktúra sebezhetőségeit használta ki, ami a zsarolóvírus-szereplők célpontjainak szélesedését jelzi.

A fenyegetés szereplőinek pénzügyi ösztönzői ellenére a váltságdíjak kifizetése nem garantálja az adatok biztonságos helyreállítását vagy a jövőbeli támadásokkal szembeni mentességet. A Cybereason adatai egy aggasztó tendenciát tárnak fel, ahol az egyszer megtámadott szervezetek jelentős többsége ismét célponttá válik, gyakran ugyanaz az ellenfél, és néha még magasabb összegek fizetésére kényszerítik őket.

Ahogy a ransomware támadások egyre kifinomultabbak és hatásosak, a kiberbiztonsági intézkedések megerősítése és a proaktív védelmi stratégiák elfogadása kiemelt fontosságúvá válik a szervezetek és a kormányok számára egyaránt.