โครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ตกเป็นเป้าหมายของ Phobos Ransomware

ทางการสหรัฐฯ ส่งสัญญาณเตือนเกี่ยวกับการกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญมากขึ้นโดย Phobos ransomware ซึ่งเป็นซอฟต์แวร์ที่เป็นอันตรายที่ออกแบบมาเพื่อเข้ารหัสไฟล์และรีดไถเงินจากเหยื่อ คำเตือนนี้ออกโดยหน่วยงานรักษาความปลอดภัยทางไซเบอร์และหน่วยข่าวกรองที่สำคัญ รวมถึงหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA), FBI และศูนย์การแบ่งปันและวิเคราะห์ข้อมูลหลายรัฐ (MS-ISAC) เน้นย้ำถึงภัยคุกคามร้ายแรงที่เกิดจากรูปแบบนี้ อาชญากรรมไซเบอร์

การทำงานภายใต้โมเดลแรนซัมแวร์ as-a-service (RaaS) นั้น แรนซัมแวร์ Phobos มีส่วนเกี่ยวข้องในการโจมตีหน่วยงานต่างๆ เช่น หน่วยงานเทศบาลและเทศมณฑล บริการฉุกเฉิน สถาบันการศึกษา สถานพยาบาลสาธารณะ และโครงสร้างพื้นฐานที่สำคัญ ผู้กระทำผิดสามารถดึงเงินค่าไถ่จำนวนหลายล้านดอลลาร์จากเหยื่อของพวกเขาได้

แคมเปญแรนซั่มแวร์ Phobos ซึ่งเริ่มใช้งานตั้งแต่เดือนพฤษภาคม 2562 ได้สร้างรูปแบบต่างๆ มากมาย รวมถึง Eking, Eight, Elbie, Devos, Faust และ Backmydata ตัวแปรเหล่านี้ถูกนำมาใช้ในการโจมตีที่มีแรงจูงใจทางการเงิน ตามที่ Cisco Talos เปิดเผยเมื่อปลายปีที่แล้ว

หลักฐานแสดงให้เห็นว่าการดำเนินการของแรนซั่มแวร์ Phobos ได้รับการจัดการจากส่วนกลาง โดยผู้มีอำนาจควบคุมถือคีย์ถอดรหัส ซึ่งเพิ่มความซับซ้อนอีกชั้นในการกู้คืนองค์กรที่ได้รับผลกระทบ

วิธีการดำเนินการของการโจมตี Phobos โดยทั่วไปจะเกี่ยวข้องกับการเข้าถึงครั้งแรกผ่านอีเมลฟิชชิ่ง หรือการใช้ประโยชน์จากช่องโหว่ในบริการ Remote Desktop Protocol (RDP) เมื่ออยู่ภายในเครือข่าย ผู้คุกคามจะใช้เครื่องมือและเทคนิคเพิ่มเติมเพื่อรักษาความคงอยู่ หลบเลี่ยงการตรวจจับ และเพิ่มสิทธิพิเศษ มีการสังเกตพบว่ามีการใช้ฟังก์ชัน Windows ในตัวเพื่อขโมยข้อมูลประจำตัว ข้ามการควบคุมความปลอดภัย และเพิ่มสิทธิพิเศษ

นอกจากนี้ กลุ่มที่อยู่เบื้องหลังโปรแกรมเรียกค่าไถ่ Phobos ยังเชี่ยวชาญในการใช้เครื่องมือโอเพ่นซอร์ส เช่น Bloodhound และ Sharphound เพื่อรวบรวมข้อมูลเกี่ยวกับโครงสร้างไดเร็กทอรีที่ใช้งานอยู่ เพื่ออำนวยความสะดวกในการเคลื่อนไหวภายในเครือข่ายที่ถูกบุกรุก พวกเขายัง ใช้วิธีการกรองไฟล์ และลบ Shadow Copy ของวอลุ่มเพื่อขัดขวางความพยายามในการกู้คืน

ความรุนแรงของการโจมตีด้วยแรนซัมแวร์ได้รับการเน้นย้ำด้วยเหตุการณ์ล่าสุด เช่น การโจมตีแบบประสานงานที่อธิบายโดย Bitdefender ซึ่งบริษัทหลายแห่งตกเป็นเป้าหมายพร้อมกันโดยกลุ่มที่เรียกว่า CACTUS การโจมตีครั้งนี้มีลักษณะพิเศษด้วยการซิงโครไนซ์และมีหลายแง่มุม โดยใช้ประโยชน์จากช่องโหว่ในโครงสร้างพื้นฐานเวอร์ช่วลไลเซชั่น ซึ่งบ่งชี้ถึงขอบเขตเป้าหมายที่กว้างขึ้นสำหรับนักแสดงแรนซัมแวร์

แม้จะมีสิ่งจูงใจทางการเงินสำหรับผู้คุกคาม แต่การจ่ายค่าไถ่ไม่ได้รับประกันการกู้คืนข้อมูลอย่างปลอดภัยหรือภูมิคุ้มกันจากการโจมตีในอนาคต ข้อมูลของ Cybereason เผยให้เห็นแนวโน้มที่น่าหนักใจ โดยองค์กรส่วนใหญ่ที่สำคัญที่ถูกโจมตีเมื่อสุดท้ายกลับตกเป็นเป้าหมายอีกครั้ง บ่อยครั้งเป็นศัตรูคนเดียวกัน และบางครั้งก็ถูกบังคับให้จ่ายเงินจำนวนที่สูงกว่านี้

เนื่องจากการโจมตีของแรนซัมแวร์ยังคงพัฒนาอย่างต่อเนื่องทั้งในด้านความซับซ้อนและผลกระทบ การสนับสนุนมาตรการรักษาความปลอดภัยทางไซเบอร์และการนำกลยุทธ์การป้องกันเชิงรุกมาใช้จึงกลายเป็นสิ่งสำคัญยิ่งสำหรับองค์กรและรัฐบาล