ASV kritiskā infrastruktūra, ko agresīvi mērķējis Phobos Ransomware

ASV varas iestādes izsauc trauksmi par arvien agresīvāko mērķtiecību pret kritisko infrastruktūru, ko veic Phobos ransomware — ļaunprātīga programmatūra, kas paredzēta failu šifrēšanai un naudas izspiešanai no upuriem. Šis brīdinājums, ko izdevušas galvenās kiberdrošības un izlūkošanas aģentūras, tostarp ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA), FIB un Daudzvalstu informācijas apmaiņas un analīzes centrs (MS-ISAC), uzsver nopietnos draudus, ko rada šāda veida kiberdrošības un infrastruktūras drošības aģentūra. kibernoziegumi.

Darbojoties saskaņā ar ransomware-as-a-service (RaaS) modeli, Phobos ransomware ir bijusi iesaistīta uzbrukumos dažādām struktūrām, piemēram, pašvaldību un apgabalu valdībām, neatliekamās palīdzības dienestiem, izglītības iestādēm, valsts veselības aprūpes iestādēm un kritiskajai infrastruktūrai. Noziedzniekiem ir izdevies no saviem upuriem izvilkt miljoniem dolāru izpirkuma maksu.

Phobos ransomware kampaņa, kas ir aktīva kopš 2019. gada maija, ir radījusi vairākus variantus, tostarp Eking, Eight, Elbie, Devos, Faust un Backmydata. Šie varianti ir izmantoti finansiāli motivētos uzbrukumos, kā atklāja Cisco Talos pagājušā gada beigās.

Pierādījumi liecina, ka Phobos izspiedējvīrusa operācijas tiek pārvaldītas centralizēti, un kontrolējošajai iestādei ir atšifrēšanas atslēga, tādējādi padarot skarto organizāciju atkopšanas pasākumus sarežģītāku.

Phobos uzbrukumu modus operandi parasti ietver sākotnējo piekļuvi, izmantojot pikšķerēšanas e-pastus vai attālās darbvirsmas protokola (RDP) pakalpojumu ievainojamību izmantošanu. Nokļūstot tīklā, apdraudējuma dalībnieki izvieto papildu rīkus un metodes, lai saglabātu noturību, izvairītos no atklāšanas un palielinātu privilēģijas. Ir novērots, ka viņi izmanto iebūvētās Windows funkcijas, lai nozagtu akreditācijas datus, apietu drošības kontroles un palielinātu privilēģijas.

Turklāt grupa, kas veido Phobos ransomware, prot izmantot atvērtā pirmkoda rīkus, piemēram, Bloodhound un Sharphound, lai apkopotu informāciju par aktīvajām direktoriju struktūrām, atvieglojot to pārvietošanos apdraudētos tīklos. Tie izmanto arī failu eksfiltrācijas metodes un dzēš sējuma ēnu kopijas, lai kavētu atkopšanas centienus.

Izspiedējvīrusu uzbrukumu nopietnību uzsver nesenie incidenti, piemēram, Bitdefender aprakstītais koordinētais uzbrukums, kurā grupa, kas pazīstama kā CACTUS, vienlaikus bija vērsta uz vairākiem uzņēmumiem. Šis uzbrukums, ko raksturo tā sinhronizētais un daudzšķautņainais raksturs, izmantoja virtualizācijas infrastruktūras ievainojamības, norādot uz plašāku mērķu loku izspiedējvīrusa dalībniekiem.

Neskatoties uz finansiāliem stimuliem draudu dalībniekiem, izpirkuma maksu maksāšana negarantē drošu datu atgūšanu vai imunitāti pret turpmākiem uzbrukumiem. Cybereason dati atklāj satraucošu tendenci, kad ievērojams vairums organizāciju, kurām reiz uzbruka, atkal tiek mērķētas, bieži vien tas pats pretinieks, un dažreiz tās tiek piespiestas maksāt vēl lielākas summas.

Tā kā izspiedējprogrammatūras uzbrukumi turpina attīstīties sarežģītāki un ietekmēti, kiberdrošības pasākumu stiprināšana un proaktīvu aizsardzības stratēģiju pieņemšana kļūst par svarīgāko gan organizācijām, gan valdībām.