Cơ sở hạ tầng quan trọng của Hoa Kỳ bị Phobos Ransomware nhắm mục tiêu mạnh mẽ
Chính quyền Hoa Kỳ đang gióng lên hồi chuông cảnh báo về sự tấn công ngày càng mạnh mẽ của phần mềm tống tiền Phobos , một phần mềm độc hại được thiết kế để mã hóa các tập tin và tống tiền nạn nhân vào các cơ sở hạ tầng quan trọng. Cảnh báo này do các cơ quan tình báo và an ninh mạng quan trọng bao gồm Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA), FBI và Trung tâm Phân tích và Chia sẻ Thông tin Đa bang (MS-ISAC) đưa ra, nêu bật mối đe dọa nghiêm trọng do hình thức tấn công này gây ra. tội phạm mạng.
Hoạt động theo mô hình ransomware-as-a-service (RaaS), ransomware Phobos có liên quan đến các cuộc tấn công vào nhiều thực thể khác nhau như chính quyền thành phố và quận, dịch vụ khẩn cấp, cơ sở giáo dục, cơ sở chăm sóc sức khỏe công cộng và cơ sở hạ tầng quan trọng. Những kẻ thủ ác đã tìm cách moi được hàng triệu đô la tiền chuộc từ nạn nhân của chúng.
Chiến dịch ransomware Phobos, hoạt động từ tháng 5 năm 2019, đã tạo ra nhiều biến thể bao gồm Eking, Eight, Elbie, Devos, Faust và Backmydata. Những biến thể này đã được sử dụng trong các cuộc tấn công có động cơ tài chính, theo tiết lộ của Cisco Talos vào cuối năm ngoái.
Bằng chứng cho thấy các hoạt động của ransomware Phobos được quản lý tập trung, với cơ quan kiểm soát nắm giữ khóa giải mã, điều này khiến nỗ lực khôi phục của các tổ chức bị ảnh hưởng trở nên phức tạp hơn.
Phương thức hoạt động của các cuộc tấn công Phobos thường liên quan đến quyền truy cập ban đầu thông qua email lừa đảo hoặc khai thác các lỗ hổng trong dịch vụ Giao thức máy tính từ xa (RDP). Khi ở trong mạng, các tác nhân đe dọa sẽ triển khai các công cụ và kỹ thuật bổ sung để duy trì tính ổn định, trốn tránh bị phát hiện và leo thang đặc quyền. Người ta đã quan sát thấy chúng sử dụng các chức năng tích hợp sẵn của Windows để lấy cắp thông tin xác thực, vượt qua các biện pháp kiểm soát bảo mật và leo thang đặc quyền.
Hơn nữa, nhóm đằng sau ransomware Phobos rất thành thạo trong việc sử dụng các công cụ nguồn mở như Bloodhound và Sharphound để thu thập thông tin về cấu trúc thư mục hoạt động, tạo điều kiện cho chúng di chuyển trong các mạng bị xâm nhập. Họ cũng sử dụng các phương pháp lọc tệp và xóa các bản sao bóng ổ đĩa để cản trở nỗ lực khôi phục.
Mức độ nghiêm trọng của các cuộc tấn công ransomware được nhấn mạnh bởi các sự cố gần đây, chẳng hạn như cuộc tấn công phối hợp được mô tả bởi Bitdefender, trong đó nhiều công ty bị nhắm mục tiêu đồng thời bởi một nhóm có tên CACTUS. Cuộc tấn công này, đặc trưng bởi tính chất đồng bộ và đa diện, đã khai thác các lỗ hổng trong cơ sở hạ tầng ảo hóa, cho thấy phạm vi mục tiêu mở rộng của các tác nhân ransomware.
Bất chấp các biện pháp khuyến khích tài chính dành cho các tác nhân đe dọa, việc trả tiền chuộc không đảm bảo việc khôi phục dữ liệu an toàn hoặc khả năng miễn nhiễm trước các cuộc tấn công trong tương lai. Dữ liệu của Cybereason cho thấy một xu hướng đáng lo ngại khi phần lớn các tổ chức bị tấn công một khi lại trở thành mục tiêu, thường là bởi cùng một đối thủ và đôi khi bị ép buộc phải trả số tiền thậm chí còn cao hơn.
Khi các cuộc tấn công ransomware tiếp tục phát triển về mức độ tinh vi và tác động, việc tăng cường các biện pháp an ninh mạng và áp dụng các chiến lược phòng thủ chủ động trở thành điều tối quan trọng đối với các tổ chức cũng như chính phủ.