Izsiljevalska programska oprema Phobos agresivno cilja na kritično infrastrukturo ZDA

Ameriške oblasti oglašajo alarm zaradi vse bolj agresivnega ciljanja kritične infrastrukture s strani izsiljevalske programske opreme Phobos , zlonamerne programske opreme, namenjene šifriranju datotek in izsiljevanju denarja od žrtev. To opozorilo, ki so ga izdale ključne agencije za kibernetsko varnost in obveščevalne agencije, vključno z agencijo ZDA za kibernetsko varnost in varnost infrastrukture (CISA), FBI in centrom za izmenjavo in analizo večdržavnih informacij (MS-ISAC), poudarja resno grožnjo, ki jo predstavlja ta oblika kibernetski kriminal.

Izsiljevalska programska oprema Phobos, ki deluje po modelu izsiljevalske programske opreme kot storitve (RaaS), je bila vpletena v napade na različne subjekte, kot so občinske in okrožne vlade, službe za nujne primere, izobraževalne ustanove, javne zdravstvene ustanove in kritična infrastruktura. Storilcem je od žrtev uspelo iztržiti milijone dolarjev odkupnine.

Kampanja izsiljevalske programske opreme Phobos, ki je aktivna od maja 2019, je ustvarila več različic, vključno z Eking, Eight, Elbie, Devos, Faust in Backmydata. Te različice so bile uporabljene v finančno motiviranih napadih, kot je konec lanskega leta razkril Cisco Talos.

Dokazi kažejo, da se operacije izsiljevalske programske opreme Phobos upravljajo centralno, pri čemer ima nadzorni organ ključ za dešifriranje, kar dodatno oteži prizadevanja za obnovitev prizadetih organizacij.

Način delovanja napadov Phobos običajno vključuje začetni dostop prek lažnih e-poštnih sporočil ali izkoriščanje ranljivosti v storitvah protokola oddaljenega namizja (RDP). Ko so v omrežju, akterji groženj uporabijo dodatna orodja in tehnike za ohranjanje obstojnosti, izogibanje odkrivanju in stopnjevanje privilegijev. Opazili so, da uporabljajo vgrajene funkcije sistema Windows za krajo poverilnic, obhod varnostnih kontrol in stopnjevanje privilegijev.

Poleg tega je skupina, ki stoji za izsiljevalsko programsko opremo Phobos, spretna pri uporabi odprtokodnih orodij, kot sta Bloodhound in Sharphound, za zbiranje informacij o strukturah aktivnega imenika, kar olajša njihovo gibanje znotraj ogroženih omrežij. Uporabljajo tudi metode izločanja datotek in brišejo senčne kopije nosilca, da ovirajo prizadevanja za obnovitev.

Resnost napadov z izsiljevalsko programsko opremo poudarjajo nedavni incidenti, kot je usklajeni napad, ki ga opisuje Bitdefender, kjer je skupina, znana kot CACTUS, napadla več podjetij hkrati. Ta napad, za katerega je značilna sinhronizirana in večplastna narava, je izkoriščal ranljivosti v virtualizacijski infrastrukturi, kar kaže na širši obseg tarč za akterje izsiljevalske programske opreme.

Kljub finančnim spodbudam za akterje groženj plačilo odkupnin ne zagotavlja varne obnovitve podatkov ali odpornosti pred prihodnjimi napadi. Podatki Cybereasona razkrivajo zaskrbljujoč trend, ko je znatna večina enkrat napadenih organizacij znova tarča, pogosto s strani istega nasprotnika, in so včasih prisiljene plačati še višje zneske.

Ker se napadi z izsiljevalsko programsko opremo še naprej razvijajo v sofisticiranosti in vplivu, postane krepitev ukrepov kibernetske varnosti in sprejemanje proaktivnih obrambnih strategij bistvenega pomena za organizacije in vlade.