Критическая инфраструктура США подверглась агрессивной атаке программы-вымогателя Phobos

Власти США бьют тревогу по поводу все более агрессивного нападения на критически важную инфраструктуру со стороны программы-вымогателя Phobos , вредоносного программного обеспечения, предназначенного для шифрования файлов и вымогательства денег у жертв. Это предупреждение, выпущенное ключевыми агентствами кибербезопасности и разведки, включая Агентство кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и Межгосударственный центр обмена информацией и анализа (MS-ISAC), подчеркивает серьезную угрозу, исходящую от этой формы кибербезопасности. киберпреступность.

Программа-вымогатель Phobos, работающая по модели «программа-вымогатель как услуга» (RaaS), была замешана в атаках на различные организации, такие как муниципальные и окружные органы власти, службы экстренной помощи, образовательные учреждения, государственные учреждения здравоохранения и критически важную инфраструктуру. Преступникам удалось получить от своих жертв миллионы долларов выкупа.

Кампания по вымогательству Phobos, активная с мая 2019 года, породила несколько вариантов, включая Eking, Eight, Elbie, Devos, Faust и Backmydata. Как показала Cisco Talos в конце прошлого года, эти варианты использовались в атаках с финансовой целью.

Имеющиеся данные свидетельствуют о том, что операции с программой-вымогателем Phobos управляются централизованно, при этом контролирующий орган владеет ключом расшифровки, что еще больше усложняет усилия по восстановлению пострадавших организаций.

Методика атак Phobos обычно включает первоначальный доступ через фишинговые электронные письма или использование уязвимостей в службах протокола удаленного рабочего стола (RDP). Оказавшись внутри сети, злоумышленники развертывают дополнительные инструменты и методы для поддержания устойчивости, уклонения от обнаружения и повышения привилегий. Было замечено, что они использовали встроенные функции Windows для кражи учетных данных, обхода мер безопасности и повышения привилегий.

Более того, группа, стоящая за программой-вымогателем Phobos, умеет использовать инструменты с открытым исходным кодом, такие как Bloodhound и Sharphound, для сбора информации о структурах активных каталогов, облегчая их перемещение внутри скомпрометированных сетей. Они также используют методы эксфильтрации файлов и удаляют теневые копии томов, чтобы затруднить усилия по восстановлению.

Серьезность атак программ-вымогателей подчеркивается недавними инцидентами, такими как скоординированная атака, описанная Bitdefender, когда группа, известная как CACTUS, одновременно атаковала несколько компаний. Эта атака, отличавшаяся синхронным и многогранным характером, использовала уязвимости в инфраструктуре виртуализации, что указывает на расширение круга целей для злоумышленников-вымогателей.

Несмотря на финансовые стимулы для злоумышленников, выплата выкупа не гарантирует безопасное восстановление данных или иммунитет от будущих атак. Данные Cybereason показывают тревожную тенденцию: значительное большинство организаций, подвергшихся однажды атаке, в конечном итоге становятся жертвами снова, часто со стороны того же злоумышленника, и иногда их принуждают платить еще более высокие суммы.

Поскольку атаки программ-вымогателей продолжают становиться все более изощренными и масштабными, усиление мер кибербезопасности и принятие стратегий превентивной защиты становятся первостепенными как для организаций, так и для правительств.