美国关键基础设施遭到 Phobos 勒索软件攻击

美国当局对Phobos 勒索软件日益激进地针对关键基础设施发出警报，该勒索软件是一种旨在加密文件并向受害者勒索金钱的恶意软件。这一警告由美国网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和多州信息共享与分析中心 (MS-ISAC) 等主要网络安全和情报机构发布，突显了这种形式的网络攻击所带来的严重威胁。网络犯罪。

Phobos 勒索软件在勒索软件即服务 (RaaS) 模式下运行，涉及对市县政府、紧急服务、教育机构、公共医疗设施和关键基础设施等各种实体的攻击。犯罪者已成功从受害者那里勒索了数百万美元的赎金。

Phobos 勒索软件活动自 2019 年 5 月开始活跃，已产生多个变体，包括 Eking、Eight、Elbie、Devos、Faust 和 Backmydata。正如思科 Talos 去年年底透露的那样，这些变体已被用于出于经济动机的攻击。

有证据表明，Phobos 勒索软件操作是集中管理的，控制机构持有解密密钥，这给受影响组织的恢复工作增加了一层复杂性。

Phobos 攻击的作案手法通常涉及通过网络钓鱼电子邮件或利用远程桌面协议 (RDP) 服务中的漏洞进行初始访问。一旦进入网络，威胁行为者就会部署额外的工具和技术来维持持久性、逃避检测和升级权限。据观察，他们利用内置的 Windows 功能窃取凭据、绕过安全控制和提升权限。

此外，Phobos 勒索软件背后的组织擅长利用 Bloodhound 和 Sharphound 等开源工具来收集有关活动目录结构的信息，从而促进它们在受感染网络中的移动。他们还采用文件渗透方法并删除卷影副本来阻碍恢复工作。

最近发生的事件凸显了勒索软件攻击的严重性，例如 Bitdefender 描述的协调攻击，其中多家公司同时受到名为 CACTUS 的组织的攻击。这种攻击具有同步和多方面的特点，利用了虚拟化基础设施中的漏洞，表明勒索软件攻击者的目标范围正在扩大。

尽管对威胁行为者有经济激励，但支付赎金并不能保证数据的安全恢复或免受未来攻击的影响。 Cybereason 的数据揭示了一个令人不安的趋势，即绝大多数遭受攻击的组织最终都会再次成为攻击目标，而且通常是同一对手，有时甚至被迫支付更高的金额。

随着勒索软件攻击的复杂性和影响力不断发展，加强网络安全措施和采取主动防御策略对于组织和政府来说变得至关重要。