Infrastruktura krytyczna USA agresywnie atakowana przez oprogramowanie ransomware Phobos

Władze USA biją na alarm w związku z coraz bardziej agresywnym oprogramowaniem ransomware Phobos , złośliwym oprogramowaniem służącym do szyfrowania plików i wyłudzania pieniędzy od ofiar, które atakują infrastrukturę krytyczną. To ostrzeżenie, wydane przez kluczowe agencje ds. cyberbezpieczeństwa i wywiadu, w tym amerykańską Agencję ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), FBI oraz Wielostanowe Centrum Wymiany i Analiz Informacji (MS-ISAC), podkreśla poważne zagrożenie, jakie stwarza ta forma cyberprzestępczość.

Działając w modelu oprogramowania ransomware jako usługi (RaaS), oprogramowanie ransomware Phobos było powiązane z atakami na różne podmioty, takie jak władze miejskie i okręgowe, służby ratunkowe, instytucje edukacyjne, publiczne zakłady opieki zdrowotnej i infrastrukturę krytyczną. Sprawcom udało się wyłudzić od swoich ofiar wielomilionowy okup.

Kampania ransomware Phobos, aktywna od maja 2019 r., przyniosła wiele jego wariantów, w tym Eking, Eight, Elbie, Devos, Faust i Backmydata. Jak ujawniło Cisco Talos pod koniec ubiegłego roku, warianty te były wykorzystywane w atakach motywowanych finansowo.

Dowody sugerują, że operacje oprogramowania ransomware Phobos są zarządzane centralnie, a organ kontrolny posiada klucz deszyfrujący, co dodatkowo komplikuje wysiłki związane z odzyskiwaniem danych przez dotknięte organizacje.

Sposób działania ataków Phobos zazwyczaj obejmuje początkowy dostęp poprzez wiadomości e-mail typu phishing lub wykorzystanie luk w zabezpieczeniach usług protokołu Remote Desktop Protocol (RDP). Po wejściu do sieci cyberprzestępcy wdrażają dodatkowe narzędzia i techniki, aby utrzymać trwałość, uniknąć wykrycia i eskalować uprawnienia. Zaobserwowano, jak wykorzystywały wbudowane funkcje systemu Windows do kradzieży danych uwierzytelniających, omijania kontroli bezpieczeństwa i eskalacji uprawnień.

Co więcej, grupa odpowiedzialna za oprogramowanie ransomware Phobos jest biegła w wykorzystywaniu narzędzi typu open source, takich jak Bloodhound i Sharphound, do gromadzenia informacji o strukturach aktywnych katalogów, ułatwiając ich poruszanie się w zaatakowanych sieciach. Stosują również metody eksfiltracji plików i usuwają kopie woluminów w tle, aby utrudnić przywracanie danych.

Powagę ataków oprogramowania ransomware podkreślają niedawne incydenty, takie jak skoordynowany atak opisany przez Bitdefender, podczas którego grupa znana jako CACTUS atakowała jednocześnie wiele firm. Atak ten, charakteryzujący się zsynchronizowanym i wieloaspektowym charakterem, wykorzystywał luki w infrastrukturze wirtualizacji, wskazując na coraz szerszy zakres celów dla podmiotów zajmujących się oprogramowaniem ransomware.

Pomimo zachęt finansowych dla podmiotów stwarzających zagrożenie płacenie okupu nie gwarantuje bezpiecznego odzyskania danych ani odporności na przyszłe ataki. Dane Cybereason ujawniają niepokojącą tendencję, zgodnie z którą znaczna większość raz zaatakowanych organizacji staje się ponownie celem, często przez tego samego przeciwnika, i czasami jest zmuszana do zapłacenia jeszcze wyższych kwot.

W miarę jak ataki ransomware stale ewoluują pod względem wyrafinowania i wpływu, wzmocnienie środków cyberbezpieczeństwa i przyjęcie proaktywnych strategii obrony staje się sprawą najwyższej wagi zarówno dla organizacji, jak i rządów.