Phobos 랜섬웨어가 미국의 중요 인프라를 공격적으로 표적으로 삼았습니다.

미국 당국은 파일을 암호화하고 피해자로부터 돈을 갈취하도록 설계된 악성 소프트웨어인 Phobos 랜섬웨어가 중요 인프라를 점점 더 공격적으로 표적으로 삼고 있다는 점에 대해 경고를 발령하고 있습니다. 미국 CISA(사이버보안 및 인프라 보안국), FBI, MS-ISAC(다국적 정보 공유 및 분석 센터) 등 주요 사이버 보안 및 정보 기관이 발표한 이 경고는 이러한 형태의 공격이 제기하는 심각한 위협을 강조합니다. 사이버 범죄.

RaaS(Ransomware-as-a-Service) 모델로 운영되는 Phobos 랜섬웨어는 지자체 및 카운티 정부, 응급 서비스, 교육 기관, 공공 의료 시설, 중요 인프라 등 다양한 기관에 대한 공격에 연루되어 있습니다. 가해자들은 피해자들로부터 몸값으로 수백만 달러를 빼냈습니다.

2019년 5월부터 활성화된 Phobos 랜섬웨어 캠페인은 Eking, Eight, Elbie, Devos, Faust 및 Backmydata를 포함한 여러 변종을 생성했습니다. Cisco Talos가 작년 말 공개한 바와 같이 이러한 변종은 재정적 동기를 지닌 공격에 사용되었습니다.

증거에 따르면 Phobos 랜섬웨어 작업은 중앙에서 관리되며, 통제 기관이 암호 해독 키를 보유하고 있어 영향을 받은 조직의 복구 노력이 더욱 복잡해졌습니다.

Phobos 공격의 작업 방식에는 일반적으로 피싱 이메일을 통한 초기 액세스 또는 RDP(원격 데스크톱 프로토콜) 서비스의 취약점 악용이 포함됩니다. 네트워크 내부에 진입한 위협 행위자는 지속성을 유지하고 탐지를 회피하며 권한을 확대하기 위해 추가 도구와 기술을 배포합니다. 그들은 내장된 Windows 기능을 활용하여 자격 증명을 도용하고, 보안 제어를 우회하고, 권한을 상승시키는 것으로 관찰되었습니다.

또한 Phobos 랜섬웨어 배후 그룹은 Bloodhound 및 Sharphound와 같은 오픈 소스 도구를 능숙하게 활용하여 Active Directory 구조에 대한 정보를 수집하고 손상된 네트워크 내에서의 이동을 촉진합니다. 또한 파일 추출 방법을 사용 하고 볼륨 섀도 복사본을 삭제하여 복구 노력을 방해합니다.

랜섬웨어 공격의 심각성은 Bitdefender가 설명하는 공동 공격과 같은 최근 사건에서 강조됩니다. CACTUS로 알려진 그룹이 여러 회사를 동시에 표적으로 삼았습니다. 동기화되고 다면적인 성격을 지닌 이 공격은 가상화 인프라의 취약점을 악용하여 랜섬웨어 행위자의 표적 범위가 넓어지고 있음을 나타냅니다.

위협 행위자에 대한 재정적 인센티브에도 불구하고 몸값을 지불한다고 해서 데이터의 안전한 복구나 향후 공격으로부터의 면역이 보장되는 것은 아닙니다. Cybereason의 데이터는 한 번 공격을 받은 대다수의 조직이 종종 동일한 적에 의해 다시 표적이 되고 때로는 더 높은 금액을 지불하도록 강요당하는 문제가 되는 추세를 보여줍니다.

랜섬웨어 공격이 계속해서 정교하고 영향력 있게 발전함에 따라 사이버 보안 조치를 강화하고 사전 방어 전략을 채택하는 것이 조직과 정부 모두에게 중요해졌습니다.