Οι υπηρεσίες κυβερνοασφάλειας και πληροφοριών των ΗΠΑ προειδοποιούν για επιθέσεις από το ransomware Phobos, που στοχεύουν κυβερνητικές οντότητες και κρίσιμες υποδομές.
Το ransomware Phobos λειτουργεί ως ransomware as a service και έχει στοχεύσει οντότητες όπως δημοτικές και νομαρχιακές αρχές, υπηρεσίες έκτακτης ανάγκης, οργανισμούς εκπαίδευσης, οργανισμούς υγειονομικής περίθαλψης και κρίσιμες υποδομές.
Το Phobos εμφανίστηκε πρώτη φορά τον Μάιο του 2019 και έχουν εντοπιστεί πολλές παραλλαγές μέχρι σήμερα, συμπεριλαμβανομένων των Eking, Eight, Elbie, Devos, Faust και Backmydata. Στα τέλη του περασμένου έτους, η Cisco Talos αποκάλυψε ότι οι παράγοντες απειλών πίσω από το ransomware 8Base αξιοποιούσαν μια παραλλαγή του ransomware Phobos για να πραγματοποιήσουν τις επιθέσεις τους.
Στις περισσότερες περιπτώσεις, οι επιθέσεις ξεκινούν με phishing emails για την εγκατάσταση κρυφών payloads όπως το SmokeLoader. Εναλλακτικά, τα ευάλωτα δίκτυα παραβιάζονται μέσω εκτεθειμένων υπηρεσιών RDP.
Δείτε επίσης: Οι ομάδες ransomware χρησιμοποιούν περισσότερα infostealers
Μετά την αρχική παραβίαση, οι επιτιθέμενοι εγκαθιστούν πρόσθετα εργαλεία απομακρυσμένης πρόσβασης, εκμεταλλεύονται τεχνικές process injection για την εκτέλεση κακόβουλου κώδικα και πραγματοποιούν τροποποιήσεις στο Windows Registry για τη διατήρηση persistence στα παραβιασμένα περιβάλλοντα.
Οι υπηρεσίες ασφαλείας ανέφεραν, ακόμα, ότι οι hackers πίσω από το Phobos ransomware χρησιμοποιούν συχνά built-in Windows API functions με σκοπό να κλέψουν tokens, να παρακάμψουν τα στοιχεία ελέγχου πρόσβασης και να δημιουργήσουν νέες διαδικασίες για να αποκτήσουν περισσότερα προνόμια αξιοποιώντας τη διαδικασία SeDebugPrivilege.
“Οι hackers πίσω από το Phobos προσπαθούν να αποκτήσουν πρόσβαση χρησιμοποιώντας cached password hashes σε μηχανήματα των θυμάτων μέχρι να φτάσουν σε domain administrator access“.
Επιπλέον, χρησιμοποιούνται εργαλεία open-source, όπως το Bloodhound και το Sharphound. Η εξαγωγή αρχείων ολοκληρώνεται μέσω WinSCP και Mega.io, μετά την οποία διαγράφονται τα volume shadow copies, σε μια προσπάθεια να γίνει πιο δύσκολη η ανάκτηση.
Ransomware επιθέσεις σε κρίσιμες υποδομές
Μια επίθεση του Phobos Ransomware σε κρίσιμες υποδομές των ΗΠΑ μπορεί να έχει σοβαρές συνέπειες. Πρώτον, μπορεί να προκαλέσει παράλυση στα συστήματα πληροφορικής, διακόπτοντας τις υπηρεσίες που παρέχονται στους πολίτες.
Δεύτερον, μια επίθεση μπορεί να οδηγήσει σε απώλεια ευαίσθητων δεδομένων, πράγμα που θα μπορούσε να προκαλέσει προβλήματα στην εθνική ασφάλεια. Τα δεδομένα αυτά μπορεί να περιλαμβάνουν πληροφορίες για τις υποδομές, την ενέργεια, την υγεία και άλλα κρίσιμα στοιχεία.
Δείτε επίσης: BlackCat ransomware: Κλοπή δεδομένων από την πλατφόρμα Change Healthcare;
Τρίτον, η επίθεση μπορεί να προκαλέσει οικονομική ζημιά. Η αποκατάσταση των συστημάτων και η ανάκτηση των δεδομένων μπορεί να κοστίσει εκατομμύρια δολάρια, ενώ η διακοπή των υπηρεσιών μπορεί να έχει αρνητικές επιπτώσεις στην οικονομία.
Τέλος, υπάρχει κίνδυνος να υπονομευθεί η εμπιστοσύνη του κοινού στην κυβέρνηση και στις δημόσιες υπηρεσίες. Αυτό μπορεί να οδηγήσει σε πολιτική αστάθεια και να αυξήσει την ανησυχία για την κυβερνοασφάλεια.
Ευτυχώς, υπάρχουν κάποιες μέθοδοι αντιμετώπισης του Phobos Ransomware. Πρώτα απ’ όλα, είναι σημαντικό να χρησιμοποιούνται λογισμικά antivirus και προγράμματα ασφαλείας.
Επιπλέον, η δημιουργία τακτικών αντιγράφων ασφαλείας των σημαντικών δεδομένων και αρχείων μπορεί να αποτρέψει την απώλεια πληροφοριών σε περίπτωση επίθεσης.
Η εκπαίδευση των χρηστών σχετικά με την αναγνώριση και την αποφυγή ύποπτων email και συνδέσμων είναι επίσης μια αποτελεσματική μέθοδος για την πρόληψη της εγκατάστασης του ransomware.
Δείτε επίσης: Rhysida ransomware: Πουλά δεδομένα του Lurie Children’s Hospital
Η ενημέρωση των συστημάτων και των εφαρμογών είναι, επίσης, απαραίτητη για τη διόρθωση κενών ασφαλείας, που μπορούν να εκμεταλλευτούν οι hackers.
Τέλος, η συνεργασία με ειδικούς στην ασφάλεια των πληροφοριακών συστημάτων μπορεί να βοηθήσει στην αντιμετώπιση των επιπτώσεων μιας επίθεσης Phobos Ransomware.
Πηγή: thehackernews.com