Infrastructura critică din SUA vizată agresiv de Phobos Ransomware

Autoritățile americane trag un semnal de alarmă cu privire la țintirea din ce în ce mai agresivă a infrastructurii critice de către ransomware-ul Phobos , un software rău intenționat conceput pentru a cripta fișiere și a stoarce bani de la victime. Acest avertisment, emis de agențiile cheie de securitate cibernetică și de informații, inclusiv Agenția de securitate cibernetică și a infrastructurii din SUA (CISA), FBI și Centrul de analiză și partajare a informațiilor pe mai multe state (MS-ISAC), evidențiază amenințarea gravă reprezentată de această formă de criminalitatea cibernetică.

Funcționând sub un model ransomware-as-a-service (RaaS), ransomware-ul Phobos a fost implicat în atacuri asupra diferitelor entități, cum ar fi guvernele municipale și județene, serviciile de urgență, instituțiile de învățământ, unitățile de sănătate publică și infrastructura critică. Făptuitorii au reușit să extragă milioane de dolari în plăți de răscumpărare de la victimele lor.

Campania de ransomware Phobos, activă din mai 2019, a generat mai multe variante, inclusiv Eking, Eight, Elbie, Devos, Faust și Backmydata. Aceste variante au fost folosite în atacuri motivate financiar, după cum a dezvăluit Cisco Talos la sfârșitul anului trecut.

Dovezile sugerează că operațiunile de ransomware Phobos sunt gestionate central, cu o autoritate de control care deține cheia de decriptare, adăugând un nivel de complexitate eforturilor de recuperare pentru organizațiile afectate.

Modul de operare al atacurilor Phobos implică, de obicei, accesul inițial prin e-mail-uri de phishing sau exploatarea vulnerabilităților din serviciile Remote Desktop Protocol (RDP). Odată intrați în rețea, actorii amenințărilor implementează instrumente și tehnici suplimentare pentru a menține persistența, a evita detectarea și a escalada privilegiile. S-au observat că utilizează funcții Windows încorporate pentru a fura acreditările, a ocoli controalele de securitate și a escalada privilegiile.

Mai mult, grupul din spatele ransomware-ului Phobos este abil în utilizarea instrumentelor open-source precum Bloodhound și Sharphound pentru a aduna informații despre structurile de directoare active, facilitând mișcările acestora în rețelele compromise. De asemenea, folosesc metode de exfiltrare a fișierelor și șterg copiile umbra de volum pentru a împiedica eforturile de recuperare.

Severitatea atacurilor ransomware este subliniată de incidente recente, cum ar fi atacul coordonat descris de Bitdefender, în care mai multe companii au fost vizate simultan de un grup cunoscut sub numele de CACTUS. Acest atac, caracterizat prin natura sa sincronizată și cu mai multe fațete, a exploatat vulnerabilitățile din infrastructura de virtualizare, indicând o sferă extinsă de ținte pentru actorii ransomware.

În ciuda stimulentelor financiare pentru actorii amenințărilor, plata răscumpărărilor nu garantează recuperarea în siguranță a datelor sau imunitatea la atacuri viitoare. Datele Cybereason dezvăluie o tendință îngrijorătoare în care o majoritate semnificativă a organizațiilor atacate odată ajung să fie din nou vizate, adesea de același adversar, și uneori sunt forțate să plătească sume și mai mari.

Pe măsură ce atacurile ransomware continuă să evolueze în sofisticare și impact, întărirea măsurilor de securitate cibernetică și adoptarea de strategii proactive de apărare devin primordiale atât pentru organizații, cât și pentru guverne.