Infrastruktur Kritikal AS Disasarkan Secara Agresif oleh Phobos Ransomware

Pihak berkuasa AS membunyikan penggera mengenai penyasaran yang semakin agresif terhadap infrastruktur kritikal oleh perisian tebusan Phobos , perisian berniat jahat yang direka untuk menyulitkan fail dan memeras wang daripada mangsa. Amaran ini, yang dikeluarkan oleh agensi keselamatan dan perisikan utama termasuk Agensi Keselamatan Siber dan Infrastruktur AS (CISA), FBI dan Pusat Perkongsian dan Analisis Maklumat Berbilang Negeri (MS-ISAC), menonjolkan ancaman besar yang ditimbulkan oleh bentuk ini. jenayah siber.

Beroperasi di bawah model ransomware-as-a-service (RaaS), Phobos ransomware telah terlibat dalam serangan ke atas pelbagai entiti seperti kerajaan perbandaran dan daerah, perkhidmatan kecemasan, institusi pendidikan, kemudahan penjagaan kesihatan awam dan infrastruktur kritikal. Pelaku telah berjaya mengeluarkan jutaan dolar sebagai bayaran tebusan daripada mangsa mereka.

Kempen perisian tebusan Phobos, aktif sejak Mei 2019, telah menghasilkan pelbagai varian termasuk Eking, Eight, Elbie, Devos, Faust, dan Backmydata. Varian ini telah digunakan dalam serangan bermotifkan kewangan, seperti yang didedahkan oleh Cisco Talos akhir tahun lepas.

Bukti menunjukkan bahawa operasi perisian tebusan Phobos diurus secara berpusat, dengan pihak berkuasa mengawal memegang kunci penyahsulitan, menambah lapisan kerumitan pada usaha pemulihan untuk organisasi yang terjejas.

Modus operandi serangan Phobos biasanya melibatkan akses awal melalui e-mel pancingan data atau mengeksploitasi kelemahan dalam perkhidmatan Protokol Desktop Jauh (RDP). Apabila berada di dalam rangkaian, pelaku ancaman menggunakan alat dan teknik tambahan untuk mengekalkan kegigihan, mengelak pengesanan dan meningkatkan keistimewaan. Mereka telah diperhatikan menggunakan fungsi Windows terbina dalam untuk mencuri bukti kelayakan, memintas kawalan keselamatan, dan meningkatkan keistimewaan.

Selain itu, kumpulan di belakang perisian tebusan Phobos mahir menggunakan alat sumber terbuka seperti Bloodhound dan Sharphound untuk mengumpulkan maklumat tentang struktur direktori aktif, memudahkan pergerakan mereka dalam rangkaian yang terjejas. Mereka juga menggunakan kaedah exfiltration fail dan memadamkan salinan bayangan volum untuk menghalang usaha pemulihan.

Keterukan serangan perisian tebusan digariskan oleh insiden baru-baru ini seperti serangan terkoordinasi yang diterangkan oleh Bitdefender, di mana beberapa syarikat disasarkan secara serentak oleh kumpulan yang dikenali sebagai CACTUS. Serangan ini, dicirikan oleh sifatnya yang disegerakkan dan pelbagai rupa, mengeksploitasi kelemahan dalam infrastruktur virtualisasi, menunjukkan skop sasaran yang semakin meluas untuk pelaku perisian tebusan.

Walaupun terdapat insentif kewangan untuk pelaku ancaman, membayar wang tebusan tidak menjamin pemulihan data yang selamat atau imuniti daripada serangan akan datang. Data Cybereason mendedahkan trend yang membimbangkan di mana majoriti besar organisasi yang diserang sekali akhirnya menjadi sasaran semula, selalunya oleh musuh yang sama, dan kadangkala dipaksa untuk membayar jumlah yang lebih tinggi.

Memandangkan serangan perisian tebusan terus berkembang dalam kecanggihan dan impak, memperkukuh langkah keselamatan siber dan mengguna pakai strategi pertahanan proaktif menjadi yang terpenting bagi organisasi dan kerajaan.