Програма-вимагач Phobos агресивно атакує критичну інфраструктуру США

Влада США б’є на сполох у зв’язку з дедалі агресивнішим нападом на критично важливу інфраструктуру за допомогою програми-вимагача Phobos , шкідливого програмного забезпечення, призначеного для шифрування файлів і вимагання грошей у жертв. Це попередження, опубліковане ключовими агенціями з кібербезпеки та розвідувальними службами, включаючи Агентство з кібербезпеки та безпеки інфраструктури США (CISA), ФБР і Міждержавний центр обміну та аналізу інформації (MS-ISAC), підкреслює серйозну загрозу, яку представляє ця форма кіберзлочинність.

Працюючи за моделлю програми-вимагача як послуга (RaaS), програма-вимагач Phobos була причетна до атак на різні організації, такі як муніципальні та окружні органи влади, екстрені служби, навчальні заклади, заклади охорони здоров’я та критична інфраструктура. Зловмисникам вдалося отримати від жертв мільйони доларів викупу.

Кампанія програм-вимагачів Phobos, активна з травня 2019 року, породила кілька варіантів, зокрема Eking, Eight, Elbie, Devos, Faust і Backmydata. Ці варіанти використовувалися для фінансово вмотивованих атак, як показало Cisco Talos наприкінці минулого року.

Докази свідчать про те, що операціями програм-вимагачів Phobos управляються централізовано, а контрольний орган володіє ключем розшифровки, що ускладнює відновлення для постраждалих організацій.

Спосіб дії атак Phobos зазвичай включає початковий доступ через фішингові електронні листи або використання вразливостей у службах протоколу віддаленого робочого столу (RDP). Потрапляючи в мережу, суб’єкти загрози розгортають додаткові інструменти та методи для підтримки стійкості, уникнення виявлення та підвищення привілеїв. Було помічено, що вони використовують вбудовані функції Windows для викрадення облікових даних, обходу заходів безпеки та підвищення привілеїв.

Більше того, група, яка стоїть за програмою-вимагачем Phobos, вправно використовує інструменти з відкритим кодом, такі як Bloodhound і Sharphound, для збору інформації про структури активних каталогів, полегшуючи їх пересування в скомпрометованих мережах. Вони також використовують методи викрадання файлів і видаляють тіньові копії томів, щоб перешкодити спробам відновлення.

Серйозність атак програм-вимагачів підкреслюється нещодавніми інцидентами, такими як скоординований напад, описаний Bitdefender, де кілька компаній були об’єктом одночасної атаки групи, відомої як CACTUS. Ця атака, яка характеризується своїм синхронізованим і багатогранним характером, використовувала вразливості в інфраструктурі віртуалізації, що вказує на розширення кола цілей для учасників програм-вимагачів.

Незважаючи на фінансові стимули для учасників загроз, сплата викупу не гарантує безпечного відновлення даних або імунітету від майбутніх атак. Дані Cybereason виявляють тривожну тенденцію, коли значна більшість організацій, які були атаковані одного разу, знову стають цілями, часто тим самим супротивником, і іноді змушені платити ще більші суми.

Оскільки атаки програм-вимагачів продовжують розвиватися у складності та впливі, посилення заходів кібербезпеки та прийняття проактивних стратегій захисту стає першорядним для організацій та урядів.