Kritisk infrastruktur i USA är aggressivt inriktad av Phobos Ransomware

Amerikanska myndigheter slår larm om den allt mer aggressiva inriktningen av kritisk infrastruktur av Phobos ransomware , en skadlig programvara utformad för att kryptera filer och pressa ut pengar från offer. Denna varning, utfärdad av viktiga cybersäkerhets- och underrättelsebyråer, inklusive US Cybersecurity and Infrastructure Security Agency (CISA), FBI och Multi-State Information Sharing and Analysis Center (MS-ISAC), belyser det allvarliga hotet som denna form av Cyber brott.

Phobos ransomware fungerar under en ransomware-as-a-service-modell (RaaS) och har varit inblandad i attacker mot olika enheter som kommuner och länsstyrelser, räddningstjänster, utbildningsinstitutioner, offentliga sjukvårdsinrättningar och kritisk infrastruktur. Gärningsmännen har lyckats få ut miljontals dollar i lösensummor från sina offer.

Phobos ransomware-kampanj, aktiv sedan maj 2019, har gett upphov till flera varianter inklusive Eking, Eight, Elbie, Devos, Faust och Backmydata. Dessa varianter har använts i ekonomiskt motiverade attacker, vilket avslöjades av Cisco Talos i slutet av förra året.

Bevis tyder på att Phobos ransomware-operationer hanteras centralt, med en kontrollerande myndighet som håller dekrypteringsnyckeln, vilket lägger till ett lager av komplexitet till återställningsinsatser för berörda organisationer.

Tillvägagångssättet för Phobos-attacker innebär vanligtvis initial åtkomst genom nätfiske-e-post eller utnyttjande av sårbarheter i Remote Desktop Protocol (RDP)-tjänster. Väl inne i ett nätverk använder hotaktörerna ytterligare verktyg och tekniker för att upprätthålla uthållighet, undvika upptäckt och eskalera privilegier. De har observerats använda inbyggda Windows-funktioner för att stjäla referenser, kringgå säkerhetskontroller och eskalera privilegier.

Dessutom är gruppen bakom Phobos ransomware skickliga på att använda open source-verktyg som Bloodhound och Sharphound för att samla information om aktiva katalogstrukturer, vilket underlättar deras rörelser inom komprometterade nätverk. De använder också filexfiltreringsmetoder och tar bort volymskuggkopior för att hindra återställningsarbetet.

Allvaret i ransomware-attacker understryks av nya incidenter som det samordnade överfallet som beskrevs av Bitdefender, där flera företag blev måltavlor samtidigt av en grupp känd som CACTUS. Denna attack, som kännetecknas av dess synkroniserade och mångfacetterade karaktär, utnyttjade sårbarheter i virtualiseringsinfrastrukturen, vilket indikerar en bredare omfattning av mål för ransomware-aktörer.

Trots de ekonomiska incitamenten för hotaktörer garanterar inte betalning av lösensummor säker återhämtning av data eller immunitet från framtida attacker. Cybereasons data avslöjar en oroande trend där en betydande majoritet av organisationer som attackerades en gång hamnar i mål igen, ofta av samma motståndare, och ibland tvingas att betala ännu högre summor.

När attacker mot ransomware fortsätter att utvecklas i sofistikering och genomslagskraft, blir det avgörande för organisationer och regeringar att stärka cybersäkerhetsåtgärder och anta proaktiva försvarsstrategier.