Kritická infraštruktúra USA agresívne zameraná Phobos Ransomware

Americké úrady bijú na poplach v súvislosti s čoraz agresívnejším zameraním sa na kritickú infraštruktúru zo strany ransomvéru Phobos , škodlivého softvéru určeného na šifrovanie súborov a vymáhanie peňazí od obetí. Toto varovanie vydané kľúčovými agentúrami pre kybernetickú bezpečnosť a spravodajskými službami vrátane Agentúry pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry USA (CISA), FBI a Centra pre zdieľanie a analýzu informácií medzi štátmi (MS-ISAC) poukazuje na vážnu hrozbu, ktorú predstavuje táto forma počítačová kriminalita.

Phobos ransomvér, ktorý funguje na základe modelu ransomware-as-a-service (RaaS), bol zapletený do útokov na rôzne subjekty, ako sú mestské a okresné vlády, pohotovostné služby, vzdelávacie inštitúcie, verejné zdravotnícke zariadenia a kritická infraštruktúra. Páchatelia dokázali od svojich obetí vymámiť milióny dolárov ako výkupné.

Ransomvérová kampaň Phobos, ktorá je aktívna od mája 2019, priniesla viaceré varianty vrátane Eking, Eight, Elbie, Devos, Faust a Backmydata. Tieto varianty sa použili pri finančne motivovaných útokoch, ako odhalila spoločnosť Cisco Talos koncom minulého roka.

Dôkazy naznačujú, že operácie ransomvéru Phobos sú spravované centrálne, pričom dešifrovací kľúč má v rukách kontrolná autorita, čo zvyšuje zložitosť úsilia o obnovu pre postihnuté organizácie.

Modus operandi útokov Phobos zvyčajne zahŕňa počiatočný prístup prostredníctvom phishingových e-mailov alebo zneužívanie zraniteľností v službách Remote Desktop Protocol (RDP). Keď sa aktéri hrozieb dostanú do siete, nasadia ďalšie nástroje a techniky na udržanie stálosti, vyhýbanie sa detekcii a eskaláciu privilégií. Boli pozorovaní, ako využívajú vstavané funkcie systému Windows na ukradnutie poverení, obídenie bezpečnostných kontrol a eskaláciu privilégií.

Skupina, ktorá stojí za ransomvérom Phobos, je navyše zbehlá v používaní nástrojov s otvoreným zdrojovým kódom, ako sú Bloodhound a Sharphound, na zhromažďovanie informácií o štruktúrach aktívnych adresárov, čo uľahčuje ich pohyb v kompromitovaných sieťach. Používajú tiež metódy exfiltrácie súborov a odstraňujú tieňové kópie zväzku, aby zabránili snahám o obnovu.

Závažnosť ransomvérových útokov podčiarkujú nedávne incidenty, ako napríklad koordinovaný útok opísaný Bitdefenderom, pri ktorom skupina známa ako CACTUS narazila na viacero spoločností. Tento útok, charakteristický svojou synchronizovanou a mnohostrannou povahou, využíval zraniteľné miesta vo virtualizačnej infraštruktúre, čo naznačuje rozširujúci sa rozsah cieľov pre aktérov ransomvéru.

Napriek finančným stimulom pre aktérov hrozby, zaplatenie výkupného nezaručuje bezpečné obnovenie údajov ani imunitu pred budúcimi útokmi. Údaje spoločnosti Cybereason odhaľujú znepokojujúci trend, keď významná väčšina raz napadnutých organizácií skončí znova terčom, často tým istým protivníkom, a niekedy sú donútené zaplatiť ešte vyššie sumy.

Keďže ransomvérové útoky sa neustále zdokonaľujú a dosahujú, posilnenie opatrení kybernetickej bezpečnosti a prijatie proaktívnych obranných stratégií sa stáva prvoradým pre organizácie aj vlády.