„Phobos Ransomware“ agresyviai nukreipta į JAV kritinę infrastruktūrą

JAV valdžios institucijos skambina pavojaus varpais dėl vis agresyvesnio kritinės infrastruktūros taikymo „Phobos ransomware“ – kenkėjiškos programinės įrangos, skirtos failams užšifruoti ir iš aukų išvilioti pinigus. Šis įspėjimas, kurį paskelbė pagrindinės kibernetinio saugumo ir žvalgybos agentūros, įskaitant JAV kibernetinio saugumo ir infrastruktūros saugumo agentūrą (CISA), FTB ir kelių valstybių informacijos dalijimosi ir analizės centrą (MS-ISAC), pabrėžia didelę šios formos grėsmę. elektroninių nusikaltimų.

Veikdama pagal „ransomware-as-a-service“ (RaaS) modelį, „Phobos ransomware“ buvo įtraukta į atakas prieš įvairius subjektus, tokius kaip savivaldybių ir apskričių vyriausybės, pagalbos tarnybos, švietimo įstaigos, viešosios sveikatos priežiūros įstaigos ir ypatingos svarbos infrastruktūra. Nusikaltėliams pavyko iš savo aukų išgauti milijonus dolerių išpirkos.

„Phobos“ išpirkos reikalaujančių programų kampanija, aktyvi nuo 2019 m. gegužės mėn., sukūrė kelis variantus, įskaitant „Eking“, „Eight“, „Elbie“, „Devos“, „Faustą“ ir „Backmydata“. Šie variantai buvo naudojami finansiškai motyvuotose atakose, kaip atskleidė Cisco Talos praėjusių metų pabaigoje.

Įrodymai rodo, kad „Phobos“ išpirkos reikalaujančios programos yra valdomos centralizuotai, o iššifravimo raktą turi kontroliuojanti institucija, todėl paveiktų organizacijų atkūrimo pastangos tampa sudėtingesnės.

Phobos atakų veikimo būdas paprastai apima pradinę prieigą per sukčiavimo el. laiškus arba nuotolinio darbalaukio protokolo (RDP) paslaugų spragų išnaudojimą. Patekę į tinklą, grėsmės veikėjai diegia papildomus įrankius ir metodus, kad išlaikytų atkaklumą, išvengtų aptikimo ir padidintų privilegijas. Buvo pastebėta, kad jie naudoja integruotas „Windows“ funkcijas, kad pavogtų kredencialus, apeitų saugos kontrolę ir padidintų privilegijas.

Be to, „Phobos ransomware“ grupė puikiai naudoja atvirojo kodo įrankius, tokius kaip „Bloodhound“ ir „Sharphound“, kad rinktų informaciją apie aktyvias katalogų struktūras, palengvindama jų judėjimą pažeistuose tinkluose. Jie taip pat naudoja failų išfiltravimo metodus ir ištrina šešėlines kopijas, kad trukdytų atkurti.

Išpirkos reikalaujančių programų atakų sunkumą pabrėžia neseniai įvykę incidentai, tokie kaip koordinuotas užpuolimas, aprašytas Bitdefender, kai grupė, žinoma kaip CACTUS, taikėsi į kelias įmones vienu metu. Ši ataka, pasižyminti savo sinchronizuotu ir daugialypiu pobūdžiu, išnaudojo virtualizacijos infrastruktūros pažeidžiamumą, o tai rodo, kad išpirkos reikalaujančių programų veikėjai gali išsiplėsti.

Nepaisant finansinių paskatų grėsmės veikėjams, išpirkų mokėjimas negarantuoja saugaus duomenų atkūrimo ar imuniteto nuo būsimų atakų. „Cybereason“ duomenys atskleidžia nerimą keliančią tendenciją, kai didžioji dauguma vieną kartą užpultų organizacijų vėl patenka į taikinį, dažnai to paties priešininko, o kartais yra verčiamos mokėti dar didesnes sumas.

Kadangi išpirkos reikalaujančios programinės įrangos atakos ir toliau tobulėja ir daro įtaką, organizacijoms ir vyriausybėms itin svarbu stiprinti kibernetinio saugumo priemones ir taikyti aktyvias gynybos strategijas.