Kritisk infrastruktur i USA aggressivt målrettet av Phobos Ransomware

Amerikanske myndigheter slår alarm om den stadig mer aggressive målrettingen av kritisk infrastruktur av Phobos løsepengeprogramvare , en ondsinnet programvare utviklet for å kryptere filer og presse penger fra ofre. Denne advarselen, utstedt av viktige cybersikkerhets- og etterretningsbyråer, inkludert US Cybersecurity and Infrastructure Security Agency (CISA), FBI og Multi-State Information Sharing and Analysis Center (MS-ISAC), fremhever den alvorlige trusselen som utgjøres av denne formen for nettkriminalitet.

Phobos løsepengevare, som opererer under en ransomware-as-a-service (RaaS)-modell, har vært involvert i angrep på ulike enheter som kommunale og fylkeskommunale myndigheter, nødetater, utdanningsinstitusjoner, offentlige helsetjenester og kritisk infrastruktur. Gjerningsmennene har klart å hente ut millioner av dollar i løsepenger fra ofrene sine.

Phobos løsepengevarekampanjen, aktiv siden mai 2019, har skapt flere varianter, inkludert Eking, Eight, Elbie, Devos, Faust og Backmydata. Disse variantene har blitt brukt i økonomisk motiverte angrep, som ble avslørt av Cisco Talos sent i fjor.

Bevis tyder på at Phobos løsepengevareoperasjoner administreres sentralt, med en kontrollerende myndighet som holder dekrypteringsnøkkelen, noe som legger til et lag med kompleksitet til gjenopprettingsarbeidet for berørte organisasjoner.

Metoden til Phobos-angrep involverer vanligvis førstegangstilgang gjennom phishing-e-post eller utnyttelse av sårbarheter i Remote Desktop Protocol (RDP)-tjenester. Når de er inne i et nettverk, distribuerer trusselaktørene ytterligere verktøy og teknikker for å opprettholde utholdenhet, unngå deteksjon og eskalere privilegier. De har blitt observert ved å bruke innebygde Windows-funksjoner for å stjele legitimasjon, omgå sikkerhetskontroller og eskalere privilegier.

Videre er gruppen bak Phobos løsepengevare dyktige til å bruke åpen kildekode-verktøy som Bloodhound og Sharphound for å samle informasjon om aktive katalogstrukturer, og forenkle deres bevegelser innenfor kompromitterte nettverk. De bruker også fileksfiltreringsmetoder og sletter volumskyggekopier for å hindre gjenopprettingsarbeid.

Alvorlighetsgraden av ransomware-angrep understrekes av nylige hendelser som det koordinerte angrepet beskrevet av Bitdefender, der flere selskaper ble målrettet samtidig av en gruppe kjent som CACTUS. Dette angrepet, preget av sin synkroniserte og mangefasetterte natur, utnyttet sårbarheter i virtualiseringsinfrastrukturen, noe som indikerer et utvidet omfang av mål for løsepengevareaktører.

Til tross for økonomiske insentiver for trusselaktører, garanterer ikke betaling av løsepenger sikker gjenoppretting av data eller immunitet mot fremtidige angrep. Cybereasons data avslører en urovekkende trend der et betydelig flertall av organisasjoner som ble angrepet en gang ender opp med å bli målrettet igjen, ofte av samme motstander, og noen ganger blir tvunget til å betale enda høyere summer.

Ettersom løsepengevareangrep fortsetter å utvikle seg i raffinement og effekt, blir det avgjørende for både organisasjoner og myndigheter å styrke cybersikkerhetstiltak og vedta proaktive forsvarsstrategier.