Οι υπηρεσίες κυβερνοασφάλειας και πληροφοριών των ΗΠΑ προειδοποιούν για attacks from the ransomware Phobos, που στοχεύουν κυβερνητικές οντότητες και κρίσιμες υποδομές.
Το ransomware Phobos λειτουργεί ως ransomware as a service and has Target οντότητες όπως δημοτικές και νομαρχιακές αρχές, υπηρεσίες έκτακτης ανάγκης, Organisations εκπαίδευσης, οργανισμούς υγειονομικής περίθαλψης και κρίσιμες υποδομές.
Το Phobos εμφανίστηκε πρώτη φορά τον Μάιο του 2019 και έχουν εντοπιστεί πολλές παραλλαγές μέχρι σήμερα, συμπεριλαμβανομένων των Eking, Eight, Elbie, Devos, Faust και Backmydata. Στα τέλη του περασμένου έτους, η Cisco Talos αποκάλυψε ότι οι παράγοντες threats πίσω από το ransomware 8Base αξιοποιούσαν μια παραλλαγή του ransomware Phobos για να πραγματοποιήσουν τις επιθέσεις τους.
In most cases, the attacks ξεκινούν με phishing emails για την εγκατάσταση κρυφών payloads όπως το SmokeLoader. Εναλλακτικά, τα ευάλωτα δίκτυα παραβιάζονται μέσω εκτεθειμένων υπηρεσιών RDP.
See also: Ransomware groups are using more infostealers
Μετά την αρχική παραβίαση, οι επιτιθέμενοι εγκαθιστούν πρόσθετα εργαλεία απομακρυσμένης πρόσβασης, εκμεταλλεύονται τεχνικές process injection για την εκτέλεση κακόβουλου κώδικα και πραγματοποιούν τροποποιήσεις στο Windows Registry για τη διατήρηση persistence στα παραβιασμένα περιβάλλοντα.
Οι υπηρεσίες ασφαλείας ανέφεραν, ακόμα, ότι οι hackers πίσω από το Phobos ransomware χρησιμοποιούν συχνά built-in Windows API functions με σκοπό να κλέψουν tokens, να παρακάμψουν τα στοιχεία ελέγχου πρόσβασης και να δημιουργήσουν νέες διαδικασίες για να αποκτήσουν περισσότερα προνόμια αξιοποιώντας τη διαδικασία SeDebugPrivilege.
“Οι hackers πίσω από το Phobos προσπαθούν να αποκτήσουν πρόσβαση χρησιμοποιώντας cached password hashes σε μηχανήματα των θυμάτων μέχρι να φτάσουν σε domain administrator access“.
Επιπλέον, χρησιμοποιούνται εργαλεία open-source, όπως το Bloodhound και το Sharphound. Η εξαγωγή αρχείων ολοκληρώνεται μέσω WinSCP and Mega.io, μετά την οποία διαγράφονται τα volume shadow copies, σε μια προσπάθεια να γίνει πιο δύσκολη η ανάκτηση.
Ransomware επιθέσεις σε κρίσιμες υποδομές
Μια επίθεση του Phobos Ransomware σε κρίσιμες υποδομές των ΗΠΑ μπορεί να έχει σοβαρές συνέπειες. Πρώτον, μπορεί να προκαλέσει παράλυση στα systems IT, διακόπτοντας τις υπηρεσίες που παρέχονται στους πολίτες.
Δεύτερον, μια επίθεση μπορεί να οδηγήσει σε απώλεια ευαίσθητων δεδομένων, πράγμα που θα μπορούσε να προκαλέσει προβλήματα στην εθνική Security. Τα δεδομένα αυτά μπορεί να περιλαμβάνουν πληροφορίες για τις υποδομές, την ενέργεια, την υγεία και άλλα κρίσιμα στοιχεία.
See also: BlackCat ransomware: data theft from the Change Healthcare platform?
Τρίτον, η επίθεση μπορεί να προκαλέσει economic loss. Η αποκατάσταση των συστημάτων και η ανάκτηση των δεδομένων μπορεί να κοστίσει εκατομμύρια δολάρια, ενώ η διακοπή των υπηρεσιών μπορεί να έχει αρνητικές επιπτώσεις στην οικονομία.
Τέλος, υπάρχει κίνδυνος να υπονομευθεί η εμπιστοσύνη του κοινού στην κυβέρνηση και στις δημόσιες υπηρεσίες. Αυτό μπορεί να οδηγήσει σε πολιτική αστάθεια και να αυξήσει την ανησυχία για την cybersecurity.
Ευτυχώς, υπάρχουν κάποιες μέθοδοι αντιμετώπισης του Phobos Ransomware. Πρώτα απ’ όλα, είναι σημαντικό να χρησιμοποιούνται λογισμικά antivirus and security programs.
In addition, the regular backups of the important data and files can prevent the loss of information in the event of an attack.
Η Education των χρηστών σχετικά με την αναγνώριση και την αποφυγή ύποπτων email και συνδέσμων είναι επίσης μια αποτελεσματική μέθοδος για την πρόληψη της εγκατάστασης του ransomware.
See also: Rhysida ransomware: selling data from Lurie Children's Hospital
Η updating systems and applications is also necessary to correct security vulnerabilities, which can be exploited by hackers.
Finally, the cooperation with security experts των πληροφοριακών συστημάτων μπορεί να βοηθήσει στην αντιμετώπιση των επιπτώσεων μιας επίθεσης Phobos Ransomware.
Source: thehackernews.com