Infraestrutura Crítica dos EUA Visada Agressivamente pelo Phobos Ransomware

As autoridades dos EUA estão a soar o alarme sobre o ataque cada vez mais agressivo a infra-estruturas críticas pelo Phobos Ransomware, um software malicioso concebido para encriptar ficheiros e extorquir dinheiro às vítimas. Este alerta, emitido pelas principais agências de segurança cibernética e de inteligência, incluindo a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), o FBI e o Centro Multiestatal de Compartilhamento e Análise de Informações (MS-ISAC), destaca a grave ameaça representada por esta forma de crime cibernético.

Operando sob um modelo de ransomware como serviço (RaaS), o Phobos Ransomware tem sido implicado em ataques a diversas entidades, como governos municipais e distritais, serviços de emergência, instituições educacionais, instalações de saúde pública e infraestrutura crítica. Os perpetradores conseguiram extrair milhões de dólares em pagamentos de resgate de suas vítimas.

A campanha de Phobos Ransomware, ativa desde maio de 2019, gerou múltiplas variantes, incluindo Eking, Eight, Elbie, Devos, Faust e Backmydata. Essas variantes foram empregadas em ataques com motivação financeira, conforme revelado pelo Cisco Talos no final do ano passado.

As evidências sugerem que as operações do Phobos Ransomware são gerenciadas centralmente, com uma autoridade controladora que detém a chave de descriptografia, adicionando uma camada de complexidade aos esforços de recuperação das organizações afetadas.

O modus operandi dos ataques do Phobos normalmente envolve acesso inicial por meio de e-mails de phishing ou exploração de vulnerabilidades em serviços de Remote Desktop Protocol (RDP). Uma vez dentro de uma rede, os agentes da ameaça implantam ferramentas e técnicas adicionais para manter a persistência, evitar a detecção e aumentar os privilégios. Eles foram observados utilizando funções integradas do Windows para roubar credenciais, ignorar controles de segurança e aumentar privilégios.

Além disso, o grupo por trás do Phobos Ransomware é adepto da utilização de ferramentas de código aberto como Bloodhound e Sharphound para coletar informações sobre estruturas de diretório ativo, facilitando seus movimentos dentro de redes comprometidas. Eles também empregam métodos de exfiltração de arquivos e excluem cópias de sombra de volume para dificultar os esforços de recuperação.

A gravidade dos ataques de ransomware é sublinhada por incidentes recentes, como o ataque coordenado descrito pela Bitdefender, onde várias empresas foram alvo simultaneamente de um grupo conhecido como CACTUS. Este ataque, caracterizado pela sua natureza sincronizada e multifacetada, explorou vulnerabilidades na infraestrutura de virtualização, indicando um âmbito cada vez maior de alvos para os agentes de ransomware.

Apesar dos incentivos financeiros para os agentes das ameaças, o pagamento de resgates não garante a recuperação segura dos dados ou a imunidade contra ataques futuros. Os dados da Cybereason revelam uma tendência preocupante em que uma maioria significativa de organizações atacadas uma vez acabam por ser alvo novamente, muitas vezes pelo mesmo adversário, e são por vezes coagidas a pagar somas ainda mais elevadas.

À medida que os ataques de ransomware continuam a evoluir em termos de sofisticação e impacto, o reforço das medidas de segurança cibernética e a adoção de estratégias de defesa proativas tornam-se fundamentais tanto para as organizações como para os governos.

Infraestrutura Crítica dos EUA Visada Agressivamente pelo Phobos Ransomware capturas de tela