Phobos Ransomware fenyegetések az USA alapvető infrastruktúrái ellen
Az USA kiberbiztonsági és hírszerző szervei arra hívják fel a figyelmet, hogy a Phobos ransomware súlyos kockázatot jelent a kormányzati és alapvető infrastruktúrákra. A támadók széles körű módszereket és technikákat vetnek be a zsaroló szoftverek terjesztésére.
A RaaS (Ransomware as a Service) modell szerint működő Phobos különféle célpontra irányul, beleértve városi és megyei kormányzati intézményeket, sürgősségi szolgáltatásokat, oktatási intézeteket, közegészségügyi létesítményeket, valamint más kulcsfontosságú infrastruktúrákat. Ezek a támadások komoly anyagi veszteségeket okoznak az Egyesült Államokban.
Figyelmeztetést kiadó szervezetek
- Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Hivatal (CISA)
- Federal Bureau of Investigation (FBI)
- Multi-State Information Sharing and Analysis Center (MS-ISAC)
Alkalmazott támadási stratégiák és technikák
A támadók gyakran élnek phishing technikákkal vagy sebezhetőségeket keresnek a hálózati rendszerekben. Sikeres behatolást követően többféle távoli elérésű eszközt telepítenek a malware terjesztése és rejtőzködése érdekében.
Egyedi támadások és eszközök
A támadók kihasználják a Windows rendszer integrált API funkcióit a felhasználói jogosultságok kiterjesztésére és azonosítási próbálkozásokra. Nyílt forrású szoftverek, mint a Bloodhound és Sharphound segítik őket a célpontok feltérképezésében. Az adatlopáshoz a WinSCP és a Mega.io szolgál.
Kiemelt támadások
A Bitdefender részletesen tárgyalt egy koordinált támadásról, amely egyszerre két külön vállalatot érintett, amit a CACTUS nevű zsarolóprogram csoport hajtott végre. Ez a támadás kiemelkedő, mivel a célpontok között voltak virtualizációs infrastruktúrák is.
Konklúzió és védekezési stratégiák
A zsarolóprogramok továbbra is jelentős bevételi forrásokat jelentenek a kiberbűnözők számára. A váltságdíj fizetése után az áldozatok gyakran ismételt támadások célpontjává válnak, tovább növelve a pénzügyi terheket.
Forrás: www.thehackernews.com