Ransomware Phobos agresivně cílí na kritickou infrastrukturu USA

Zpět na blog

Americké agentury pro kybernetickou bezpečnost a zpravodajství varují před útoky ransomwaru Phobos, které jsou zaměřeny na vládní instituce a subjekty kritické infrastruktury. V těchto varováních jsou popsány různé taktiky a techniky, které útočníci využívají k nasazení tohoto ransomwaru.

„Strukturovaný jako model ransomware-as-a-service (RaaS), aktéři ransomwaru Phobos cílili na subjekty včetně městských a okresních správ, nouzových služeb, vzdělávacích institucí, veřejného zdravotnictví a kritické infrastruktury. Vydíráním svých obětí si příšli na několik milionů dolarů,“ uvedly Americká agenturá pro kybernetickou a infrastrukturní bezpečnost (CISA), Federální úřad pro vyšetřování (FBI) a Multi-State Information Sharing and Analysis Center (MS-ISAC).

Od května 2019 bylo dosud identifikováno několik variant ransomwaru Phobos, a sice Eking, Eight, Elbie, Devos, Faust a Backmydata. Koncem minulého roku společnost Cisco Talos odhalila, že aktéři hrozeb za ransomwarem 8Base využívají variantu ransomwaru Phobos k provádění svých finančně motivovaných útoků.

Existují důkazy, které naznačují, že Phobos je pravděpodobně úzce řízen centrální autoritou, která kontroluje soukromý dešifrovací klíč ransomwaru.

Řetězce útoků zahrnující tento druh ransomwaru typicky využívají phishing jako počáteční vektor přístupu k instalaci nenápadných workloadů, jako je SmokeLoader. Alternativně jsou zranitelné sítě napadány prostřednictvím hledání exponovaných služeb RDP a jejich využitím pomocí útoků hrubou silou.

Po úspěšné infiltraci následje nasazení dalších nástrojů pro vzdálený přístup, využíváním technik injekce procesů k provádění škodlivého kódu a vyhnutí se detekci, a prováděním změn v registru Windows k udržení persistence v kompromitovaném prostředí.

„Navíc bylo pozorováno, že aktéři Phobos používají zabudované funkce Windows API ke krádeži tokenů, obcházení kontrol přístupu a vytváření nových procesů pro eskalaci práv pomocí procesu SeDebugPrivilege,“ uvedly agentury. „Aktéři Phobos se pokoušejí autentizovat pomocí uložených hesel v hashích na strojích obětí, dokud nedosáhnou přístupu administrátora domény.“

Skupina útočníků je také známá využíváním open-source nástrojů, jako jsou Bloodhound a Sharphound, k enumeraci aktivního adresáře. Exfiltraci souborů zajišťuje WinSCP a Mega.io, po kterých jsou smazány stínové kopie, aby se ztížila obnova dat.

Toto prohlášení přichází, když společnost Bitdefender podrobně popisuje pečlivě koordinovaný ransomwarový útok, který současně ovlivnil dvě samostatné společnosti. Útok, popsaný jako synchronizovaný a mnohostranný, byl připsán ransomwarovému aktérovi nazvanému CACTUS.

„CACTUS pokračoval v pronikání do sítě jedné organizace, kde instaloval různé typy nástrojů pro vzdálený přístup a tunely napříč různými servery,“ řekl Martin Zugec, technický ředitel řešení ve společnosti Bitdefender.

„Když identifikovali příležitost přesunout se do další společnosti, na chvíli pozastavili svou operaci, aby pronikli do jiné sítě. Obě společnosti jsou součástí stejné skupiny, ale fungují nezávisle, udržují oddělené sítě a domény bez jakéhokoli zřízeného důvěryhodného vztahu.“

Útok je také pozoruhodný cílením na virtualizační infrastrukturu nejmenované společnosti, což naznačuje, že aktéři CACTUS rozšířili své zaměření za hostitele Windows, aby udeřili na hostitele Hyper-V a VMware ESXi.

Využil také kritickou bezpečnostní chybu (CVE-2023-38035, skóre CVSS: 9.8) na internetem exponovaném serveru Ivanti Sentry méně než 24 hodin po jejím počátečním zveřejnění v srpnu 2023, což opět zdůrazňuje oportunistické a rychlé zneužívání nově známých zranitelností.

Ransomware nadále představuje hlavní zdroj příjmů pro finančně motivované aktéry hrozeb, přičemž počáteční požadavky na výkupné dosáhly v roce 2023 průměrné hodnoty 600 000 dolarů, což je o 20 % více než v předchozím roce, jak uvedla společnost Arctic Wolf. Ve 4. čtvrtletí 2023 činila průměrná výše zaplaceného výkupného 568 705 dolarů na oběť.

Co více, zaplacení požadavku na výkupné neznamená budoucí ochranu. Neexistuje žádná záruka, že data a systémy oběti budou bezpečně obnoveny a že útočníci neprodají ukradená data na podzemních fórech nebo nezaútočí znovu.

Data sdílená kybernetickou společností Cybereason ukazují, že „ohromujících 78 % [organizací] bylo znovu napadeno po zaplacení výkupného – 82 % z nich do roku,“ v některých případech stejným útočníkem. Z těchto obětí bylo 63 % „požádáno o zaplacení více podruhé.“

Zdroj: The Hacker News

18. 3. 2024