Infrastrutture critiche statunitensi prese di mira in modo aggressivo dal ransomware Phobos

Le autorità statunitensi lanciano l'allarme sull'attacco sempre più aggressivo delle infrastrutture critiche da parte del ransomware Phobos , un software dannoso progettato per crittografare file ed estorcere denaro alle vittime. Questo avvertimento, emesso dalle principali agenzie di sicurezza informatica e di intelligence, tra cui la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, l’FBI e il Multi-State Information Sharing and Analysis Center (MS-ISAC), evidenzia la grave minaccia rappresentata da questa forma di crimine informatico.

Operando secondo un modello ransomware-as-a-service (RaaS), il ransomware Phobos è stato implicato in attacchi a varie entità come governi municipali e di contea, servizi di emergenza, istituti scolastici, strutture sanitarie pubbliche e infrastrutture critiche. Gli autori sono riusciti a estorcere milioni di dollari in riscatto alle loro vittime.

La campagna ransomware Phobos, attiva da maggio 2019, ha generato molteplici varianti tra cui Eking, Eight, Elbie, Devos, Faust e Backmydata. Queste varianti sono state impiegate in attacchi motivati dal punto di vista finanziario, come rivelato da Cisco Talos alla fine dello scorso anno.

Le prove suggeriscono che le operazioni del ransomware Phobos sono gestite centralmente, con un’autorità di controllo che detiene la chiave di decrittazione, aggiungendo un livello di complessità agli sforzi di ripristino per le organizzazioni colpite.

Il modus operandi degli attacchi Phobos prevede in genere l’accesso iniziale tramite e-mail di phishing o lo sfruttamento delle vulnerabilità nei servizi RDP (Remote Desktop Protocol). Una volta all'interno di una rete, gli autori delle minacce implementano strumenti e tecniche aggiuntivi per mantenere la persistenza, eludere il rilevamento e aumentare i privilegi. Sono stati osservati mentre utilizzano le funzioni integrate di Windows per rubare credenziali, aggirare i controlli di sicurezza e aumentare i privilegi.

Inoltre, il gruppo dietro Phobos ransomware è abile nell’utilizzare strumenti open source come Bloodhound e Sharphound per raccogliere informazioni sulle strutture di active directory, facilitandone i movimenti all’interno delle reti compromesse. Impiegano inoltre metodi di esfiltrazione dei file ed eliminano le copie shadow del volume per ostacolare gli sforzi di ripristino.

La gravità degli attacchi ransomware è sottolineata da recenti incidenti come l'assalto coordinato descritto da Bitdefender, in cui più aziende sono state prese di mira contemporaneamente da un gruppo noto come CACTUS. Questo attacco, caratterizzato dalla sua natura sincronizzata e sfaccettata, ha sfruttato le vulnerabilità nell’infrastruttura di virtualizzazione, indicando una portata sempre più ampia di obiettivi per gli autori del ransomware.

Nonostante gli incentivi finanziari per gli autori delle minacce, il pagamento dei riscatti non garantisce il recupero sicuro dei dati o l’immunità da attacchi futuri. I dati di Cybereason rivelano una tendenza preoccupante secondo cui una maggioranza significativa delle organizzazioni attaccate una volta finiscono per essere prese di mira nuovamente, spesso dallo stesso avversario, e talvolta sono costrette a pagare somme ancora più elevate.

Poiché gli attacchi ransomware continuano a evolversi in sofisticatezza e impatto, il rafforzamento delle misure di sicurezza informatica e l’adozione di strategie di difesa proattiva diventano fondamentali sia per le organizzazioni che per i governi.