Ang Kritikal na Imprastraktura ng US ay Agresibong Tina-target ng Phobos Ransomware
Inaalarma ng mga awtoridad ng US ang lalong agresibong pag-target sa kritikal na imprastraktura ng Phobos ransomware , isang malisyosong software na idinisenyo upang mag-encrypt ng mga file at mangikil ng pera mula sa mga biktima. Ang babalang ito, na inilabas ng pangunahing cybersecurity at intelligence agencies kabilang ang US Cybersecurity and Infrastructure Security Agency (CISA), ang FBI, at ang Multi-State Information Sharing and Analysis Center (MS-ISAC), ay nagha-highlight sa matinding banta na dulot ng ganitong uri ng cybercrime.
Gumagana sa ilalim ng modelong ransomware-as-a-service (RaaS), ang Phobos ransomware ay nasangkot sa mga pag-atake sa iba't ibang entity gaya ng mga pamahalaang munisipal at county, mga serbisyong pang-emergency, mga institusyong pang-edukasyon, mga pasilidad ng pampublikong pangangalaga sa kalusugan, at mga kritikal na imprastraktura. Nakuha ng mga salarin ang milyun-milyong dolyar na bayad sa ransom mula sa kanilang mga biktima.
Ang Phobos ransomware campaign, na aktibo mula noong Mayo 2019, ay nagbunga ng maraming variant kabilang ang Eking, Eight, Elbie, Devos, Faust, at Backmydata. Ang mga variant na ito ay ginamit sa mga pag-atake na may kinalaman sa pananalapi, gaya ng ipinahayag ng Cisco Talos noong huling taon.
Iminumungkahi ng ebidensiya na ang mga pagpapatakbo ng Phobos ransomware ay pinamamahalaan nang sentral, na may kumokontrol na awtoridad na may hawak ng decryption key, na nagdaragdag ng isang layer ng pagiging kumplikado sa mga pagsisikap sa pagbawi para sa mga apektadong organisasyon.
Ang modus operandi ng mga pag-atake sa Phobos ay karaniwang nagsasangkot ng paunang pag-access sa pamamagitan ng mga email sa phishing o pagsasamantala ng mga kahinaan sa mga serbisyo ng Remote Desktop Protocol (RDP). Kapag nasa loob na ng network, ang mga banta ng aktor ay naglalagay ng mga karagdagang tool at diskarte upang mapanatili ang pagtitiyaga, maiwasan ang pagtuklas, at palakihin ang mga pribilehiyo. Napagmasdan silang gumagamit ng mga built-in na function ng Windows upang magnakaw ng mga kredensyal, laktawan ang mga kontrol sa seguridad, at palakihin ang mga pribilehiyo.
Bukod dito, ang grupo sa likod ng Phobos ransomware ay sanay sa paggamit ng mga open-source na tool tulad ng Bloodhound at Sharphound upang mangalap ng impormasyon tungkol sa mga aktibong istruktura ng direktoryo, na pinapadali ang kanilang mga paggalaw sa loob ng mga nakompromisong network. Gumagamit din sila ng mga paraan ng exfiltration ng file at nagtanggal ng mga volume shadow copies upang hadlangan ang mga pagsisikap sa pagbawi.
Ang kalubhaan ng mga pag-atake ng ransomware ay binibigyang-diin ng mga kamakailang insidente gaya ng pinagsama-samang pag-atake na inilarawan ng Bitdefender, kung saan maraming kumpanya ang sabay-sabay na na-target ng isang grupo na kilala bilang CACTUS. Ang pag-atakeng ito, na nailalarawan sa pamamagitan ng pagkaka-synchronize at multifaceted na kalikasan nito, ay pinagsamantalahan ang mga kahinaan sa virtualization infrastructure, na nagpapahiwatig ng lumalawak na saklaw ng mga target para sa ransomware actor.
Sa kabila ng mga insentibo sa pananalapi para sa mga aktor ng pagbabanta, ang pagbabayad ng mga ransom ay hindi ginagarantiyahan ang ligtas na pagbawi ng data o kaligtasan mula sa mga pag-atake sa hinaharap. Ang data ng Cybereason ay nagpapakita ng nakakabagabag na kalakaran kung saan ang malaking mayorya ng mga organisasyong inatake sa sandaling nauwi sa pag-target muli, madalas ng parehong kalaban, at kung minsan ay napipilitan na magbayad ng mas mataas na halaga.
Habang patuloy na umuunlad ang mga pag-atake ng ransomware sa pagiging sopistikado at epekto, ang pagpapatibay ng mga hakbang sa cybersecurity at pagpapatibay ng mga proactive na diskarte sa pagtatanggol ay nagiging pinakamahalaga para sa mga organisasyon at gobyerno.