Критична инфраструктура САД-а агресивно циљана од стране Пхобос Рансомваре-а

Америчке власти упозоравају на све агресивније циљање критичне инфраструктуре од стране рансомваре -а Пхобос, злонамјерног софтвера дизајнираног да шифрира датотеке и изнуђује новац од жртава. Ово упозорење, које су издале кључне агенције за сајбер-безбедност и обавештајне службе, укључујући Агенцију за сајбер безбедност и инфраструктурну безбедност (ЦИСА), ФБИ и Центар за размену информација и анализу више држава (МС-ИСАЦ), наглашава озбиљну претњу коју представља овај облик сајбер криминал.

Радећи по моделу рансомваре-ас-а-сервице (РааС), Пхобос рансомваре је умешан у нападе на различите ентитете као што су општинске и окружне владе, хитне службе, образовне институције, јавне здравствене установе и критична инфраструктура. Починиоци су успели да извуку милионе долара као откупнину од својих жртава.

Кампања Пхобос рансомваре-а, активна од маја 2019. године, изнедрила је више варијанти укључујући Екинг, Еигхт, Елбие, Девос, Фауст и Бацкмидата. Ове варијанте су коришћене у финансијски мотивисаним нападима, као што је открио Цисцо Талос крајем прошле године.

Докази сугеришу да се операцијама рансомваре-а Пхобос централно управља, а контролно тело држи кључ за дешифровање, додајући слој сложености напорима за опоравак погођених организација.

Модус операнди Фобос напада обично укључује почетни приступ путем пхисхинг емаил-ова или искоришћавање рањивости у услугама протокола за удаљену радну површину (РДП). Једном у мрежи, актери претњи примењују додатне алате и технике за одржавање постојаности, избегавање откривања и ескалацију привилегија. Примећено је да користе уграђене Виндовс функције за крађу акредитива, заобилазећи безбедносне контроле и ескалирају привилегије.

Штавише, група која стоји иза Пхобос рансомваре-а је вешта у коришћењу алата отвореног кода као што су Блоодхоунд и Схарпхоунд за прикупљање информација о активним структурама директоријума, олакшавајући њихово кретање унутар компромитованих мрежа. Они такође користе методе ексфилтрације датотека и бришу сенчене копије волумена како би ометали напоре за опоравак.

Озбиљност напада рансомваре-а наглашавају недавни инциденти као што је координирани напад који је описао Битдефендер, где је група позната као ЦАЦТУС истовремено циљала више компанија. Овај напад, који карактерише његова синхронизована и вишеструка природа, искоришћавао је рањивости у инфраструктури виртуелизације, што указује на све већи обим мета за актере рансомвера.

Упркос финансијским подстицајима за актере претњи, плаћање откупа не гарантује безбедан опоравак података или имунитет од будућих напада. Подаци компаније Цибереасон откривају забрињавајући тренд где значајна већина организација које су једном нападнуте на крају поново буду на мети, често од стране истог противника, а понекад су приморани да плате још веће суме.

Како напади рансомваре-а настављају да еволуирају у софистицираности и утицају, јачање мера сајбер безбедности и усвајање проактивних одбрамбених стратегија постају најважнији и за организације и за владе.