ABD Kritik Altyapısı Phobos Fidye Yazılımı Tarafından Agresif Şekilde Hedefleniyor

ABD yetkilileri, dosyaları şifrelemek ve kurbanlardan zorla para almak için tasarlanmış kötü amaçlı bir yazılım olan Phobos fidye yazılımının kritik altyapıyı giderek daha agresif bir şekilde hedef alması konusunda alarm veriyor. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), FBI ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) dahil olmak üzere önemli siber güvenlik ve istihbarat teşkilatları tarafından yayınlanan bu uyarı, bu tür siber saldırıların oluşturduğu ciddi tehdidin altını çiziyor. siber Suç.

Hizmet olarak fidye yazılımı (RaaS) modeli altında çalışan Phobos fidye yazılımının, belediye ve ilçe hükümetleri, acil servisler, eğitim kurumları, kamu sağlık tesisleri ve kritik altyapılar gibi çeşitli kuruluşlara yönelik saldırılara karıştığı tespit edildi. Failler kurbanlarından milyonlarca dolar fidye ödemesi almayı başardılar.

Mayıs 2019'dan bu yana aktif olan Phobos fidye yazılımı kampanyası, Eking, Eight, Elbie, Devos, Faust ve Backmydata dahil olmak üzere birçok varyantı ortaya çıkardı. Bu değişkenler, geçen yılın sonlarında Cisco Talos'un ortaya çıkardığı gibi finansal amaçlı saldırılarda kullanıldı.

Kanıtlar, Phobos fidye yazılımı işlemlerinin, şifre çözme anahtarını elinde bulunduran bir kontrol otoritesi ile merkezi olarak yönetildiğini ve etkilenen kuruluşların kurtarma çabalarına bir karmaşıklık katmanı eklediğini gösteriyor.

Phobos saldırılarının işleyiş biçimi genellikle kimlik avı e-postaları aracılığıyla ilk erişimi veya Uzak Masaüstü Protokolü (RDP) hizmetlerindeki güvenlik açıklarından yararlanmayı içerir. Tehdit aktörleri bir ağa girdikten sonra kalıcılığı korumak, tespitten kaçınmak ve ayrıcalıkları yükseltmek için ek araçlar ve teknikler kullanır. Kimlik bilgilerini çalmak, güvenlik kontrollerini atlamak ve ayrıcalıkları yükseltmek için yerleşik Windows işlevlerini kullandıkları gözlemlendi.

Dahası, Phobos fidye yazılımının arkasındaki grup, Bloodhound ve Sharphound gibi açık kaynaklı araçları kullanarak aktif dizin yapıları hakkında bilgi toplamakta ve bunların tehlikeye atılmış ağlar içindeki hareketlerini kolaylaştırmakta ustadır. Ayrıca kurtarma çabalarını engellemek için dosya sızdırma yöntemleri kullanırlar ve birim gölge kopyalarını silerler.

Fidye yazılımı saldırılarının ciddiyeti, Bitdefender tarafından açıklanan ve birden fazla şirketin CACTUS olarak bilinen bir grup tarafından aynı anda hedef alındığı koordineli saldırı gibi son olaylarda vurgulanıyor. Senkronize ve çok yönlü doğasıyla karakterize edilen bu saldırı, sanallaştırma altyapısındaki güvenlik açıklarından yararlandı ve fidye yazılımı aktörlerinin hedef kapsamının genişlediğine işaret etti.

Tehdit aktörlerine yönelik mali teşviklere rağmen fidye ödemek, verilerin güvenli bir şekilde kurtarılmasını veya gelecekteki saldırılara karşı bağışıklığı garanti etmez. Cybereason'un verileri, bir kez saldırıya uğrayan kuruluşların önemli bir çoğunluğunun, genellikle aynı düşman tarafından tekrar hedef alındığı ve bazen daha yüksek meblağlar ödemeye zorlandığı rahatsız edici bir eğilimi ortaya koyuyor.

Fidye yazılımı saldırıları karmaşıklık ve etki açısından gelişmeye devam ettikçe, siber güvenlik önlemlerinin güçlendirilmesi ve proaktif savunma stratejilerinin benimsenmesi hem kuruluşlar hem de hükümetler için çok önemli hale geliyor.