Infrastruktura kritike e SHBA-së e shënjestruar në mënyrë agresive nga Phobos Ransomware

Autoritetet amerikane po japin alarmin për shënjestrimin gjithnjë e më agresiv të infrastrukturës kritike nga ransomware Phobos , një softuer me qëllim të keq i krijuar për të koduar skedarët dhe për të zhvatur para nga viktimat. Ky paralajmërim, i lëshuar nga agjencitë kryesore të sigurisë kibernetike dhe inteligjencës, duke përfshirë Agjencinë e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA (CISA), FBI-në dhe Qendrën e Shkëmbimit dhe Analizës së Informacionit Shumë-Shtetëror (MS-ISAC), thekson kërcënimin e rëndë që paraqet kjo formë e krimit kibernetik.

Duke operuar sipas një modeli ransomware-as-a-service (RaaS), ransomware Phobos është implikuar në sulme ndaj entiteteve të ndryshme si qeveritë bashkiake dhe të qarkut, shërbimet e urgjencës, institucionet arsimore, objektet e kujdesit shëndetësor publik dhe infrastrukturën kritike. Autorët kanë arritur të nxjerrin miliona dollarë si shpërblim nga viktimat e tyre.

Fushata e ransomware Phobos, aktive që nga maji 2019, ka krijuar variante të shumta duke përfshirë Eking, Eight, Elbie, Devos, Faust dhe Backmydata. Këto variante janë përdorur në sulme të motivuara financiarisht, siç u zbulua nga Cisco Talos në fund të vitit të kaluar.

Provat sugjerojnë se operacionet e ransomware-it Phobos menaxhohen në mënyrë qendrore, me një autoritet kontrollues që mban çelësin e deshifrimit, duke shtuar një shtresë kompleksiteti në përpjekjet e rimëkëmbjes për organizatat e prekura.

Mënyra e funksionimit të sulmeve Phobos zakonisht përfshin qasjen fillestare përmes emaileve të phishing ose shfrytëzimit të dobësive në shërbimet e Protokollit të Desktopit të Largët (RDP). Pasi hyjnë në një rrjet, aktorët e kërcënimit vendosin mjete dhe teknika shtesë për të ruajtur qëndrueshmërinë, për të shmangur zbulimin dhe për të përshkallëzuar privilegjet. Ata janë vërejtur duke përdorur funksionet e integruara të Windows për të vjedhur kredencialet, për të anashkaluar kontrollet e sigurisë dhe për të përshkallëzuar privilegjet.

Për më tepër, grupi që qëndron pas ransomware-it Phobos është i aftë në përdorimin e mjeteve me burim të hapur si Bloodhound dhe Sharphound për të mbledhur informacione rreth strukturave aktive të drejtorive, duke lehtësuar lëvizjet e tyre brenda rrjeteve të komprometuara. Ata gjithashtu përdorin metoda të ekfiltrimit të skedarëve dhe fshijnë kopjet hije të vëllimit për të penguar përpjekjet e rikuperimit.

Ashpërsia e sulmeve të ransomware nënvizohet nga incidentet e fundit si sulmi i koordinuar i përshkruar nga Bitdefender, ku kompani të shumta u shënjestruan njëkohësisht nga një grup i njohur si CACTUS. Ky sulm, i karakterizuar nga natyra e tij e sinkronizuar dhe shumëplanëshe, ka shfrytëzuar dobësitë në infrastrukturën e virtualizimit, duke treguar një shtrirje të zgjeruar të objektivave për aktorët e ransomware.

Pavarësisht stimujve financiarë për aktorët e kërcënimit, pagesa e shpërblimeve nuk garanton rikuperimin e sigurt të të dhënave ose imunitetin nga sulmet e ardhshme. Të dhënat e Cybereason zbulojnë një prirje shqetësuese ku një shumicë e konsiderueshme e organizatave të sulmuara dikur përfundojnë sërish në shënjestër, shpesh nga i njëjti kundërshtar, dhe ndonjëherë detyrohen të paguajnë shuma edhe më të larta.

Ndërsa sulmet e ransomware vazhdojnë të evoluojnë në sofistikim dhe ndikim, forcimi i masave të sigurisë kibernetike dhe miratimi i strategjive proaktive të mbrojtjes bëhet thelbësore për organizatat dhe qeveritë.