Amerikaanse kritieke infrastructuur wordt agressief aangevallen door Phobos Ransomware

De Amerikaanse autoriteiten luiden de noodklok over de steeds agressievere aanval op kritieke infrastructuur door de Phobos-ransomware , kwaadaardige software die is ontworpen om bestanden te versleutelen en geld van slachtoffers af te persen. Deze waarschuwing, uitgegeven door belangrijke cyberveiligheids- en inlichtingendiensten, waaronder de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), de FBI en het Multi-State Information Sharing and Analysis Center (MS-ISAC), benadrukt de ernstige dreiging die uitgaat van deze vorm van cybercriminaliteit. cybercriminaliteit.

De Phobos-ransomware opereert volgens een ransomware-as-a-service (RaaS)-model en is betrokken bij aanvallen op verschillende entiteiten, zoals gemeentelijke en provinciale overheden, hulpdiensten, onderwijsinstellingen, openbare gezondheidszorginstellingen en kritieke infrastructuur. De daders zijn erin geslaagd miljoenen dollars aan losgeld af te dwingen van hun slachtoffers.

De Phobos-ransomwarecampagne, actief sinds mei 2019, heeft meerdere varianten voortgebracht, waaronder Eking, Eight, Elbie, Devos, Faust en Backmydata. Deze varianten zijn gebruikt bij financieel gemotiveerde aanvallen, zoals eind vorig jaar door Cisco Talos werd onthuld.

Er zijn aanwijzingen dat de ransomware-activiteiten van Phobos centraal worden beheerd, waarbij een controlerende autoriteit de decoderingssleutel in handen heeft, wat een extra laag complexiteit toevoegt aan de herstelinspanningen voor getroffen organisaties.

De modus operandi van Phobos-aanvallen omvat doorgaans initiële toegang via phishing-e-mails of het misbruiken van kwetsbaarheden in Remote Desktop Protocol (RDP)-services. Eenmaal binnen een netwerk zetten de bedreigingsactoren aanvullende tools en technieken in om de persistentie te behouden, detectie te omzeilen en bevoegdheden te escaleren. Er is waargenomen dat ze ingebouwde Windows-functies gebruiken om inloggegevens te stelen, beveiligingscontroles te omzeilen en bevoegdheden te escaleren.

Bovendien is de groep achter de Phobos-ransomware bedreven in het gebruik van open-sourcetools zoals Bloodhound en Sharphound om informatie te verzamelen over actieve directorystructuren, waardoor hun verplaatsingen binnen gecompromitteerde netwerken worden vergemakkelijkt. Ze maken ook gebruik van bestandsexfiltratiemethoden en verwijderen volumeschaduwkopieën om herstelpogingen te belemmeren.

De ernst van ransomware-aanvallen wordt onderstreept door recente incidenten zoals de gecoördineerde aanval beschreven door Bitdefender, waarbij meerdere bedrijven tegelijkertijd het doelwit waren van een groep die bekend staat als CACTUS. Deze aanval, gekenmerkt door zijn gesynchroniseerde en veelzijdige aard, maakte misbruik van kwetsbaarheden in de virtualisatie-infrastructuur, wat erop wijst dat er steeds meer doelwitten zijn voor ransomware-actoren.

Ondanks de financiële prikkels voor dreigingsactoren, garandeert het betalen van losgeld geen veilig herstel van gegevens of immuniteit tegen toekomstige aanvallen. Uit de gegevens van Cybereason blijkt een verontrustende trend waarbij een aanzienlijke meerderheid van de organisaties die ooit zijn aangevallen, uiteindelijk opnieuw het doelwit worden, vaak door dezelfde tegenstander, en soms worden gedwongen om nog hogere bedragen te betalen.

Naarmate ransomware-aanvallen steeds geavanceerder en impactvoller worden, wordt het versterken van cyberbeveiligingsmaatregelen en het aannemen van proactieve verdedigingsstrategieën van cruciaal belang voor zowel organisaties als overheden.