US-amerikanische Cyber-Sicherheits- und Geheimdienstbehörden haben vor Phobos-Ransomware-Angriffen auf Regierungs- und kritische Infrastruktureinrichtungen gewarnt, wobei die verschiedenen Taktiken und Techniken der Bedrohungsakteure zur Bereitstellung der dateiverschlüsselnden Malware beschrieben wurden.
Phobos-Ransomware wird als Ransomware-as-a-Service (RaaS)-Modell strukturiert und hat Ziele wie kommunale und Landesregierungen, Notfalldienste, Bildungseinrichtungen, öffentliche Gesundheitsversorgung und kritische Infrastruktur ins Visier genommen, um erfolgreich mehrere Millionen US-Dollar zu erpressen, so die Regierung.
Das US Cybersecurity and Infrastructure Security Agency (CISA), das Federal Bureau of Investigation (FBI) und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben Hinweise herausgegeben.
Seit Mai 2019 wurden mehrere Varianten von Phobos-Ransomware identifiziert, darunter Eking, Eight, Elbie, Devos, Faust und Backmydata. Letztes Jahr enthüllte Cisco Talos, dass die Bedrohungsakteure hinter der 8Base-Ransomware eine Phobos-Ransomware-Variante verwenden, um ihre finanziell motivierten Angriffe durchzuführen.
Phobos wird wahrscheinlich von einer zentralen Autorität eng kontrolliert, die den privaten Entschlüsselungsschlüssel der Ransomware steuert. Angriffsketten mit dieser Ransomware umfassen in der Regel Phishing als initially Zugangsvektor, Stealth-Payloads wie SmokeLoader werden abgelegt und anfällige Netzwerke werden durch Suche nach freiliegenden RDP-Diensten kompromittiert und durch Brute-Force-Angriffe ausgenutzt.
Weitere Techniken wie die Verwendung von Windows-API-Funktionen und der Einsatz von Remote-Access-Tools wurden beobachtet. Zusätzlich werden interne Windows-Prozesse manipuliert, um Berechtigungen zu eskalieren. Die Gruppe nutzt auch offene Tools wie Bloodhound und Sharphound sowie File-Exfiltration-Methoden und Löschen von Shadow-Copies.
Ein weiterer Bericht detailliert einen koordinierten Ransomware-Angriff auf zwei Unternehmen gleichzeitig, der einer Gruppe namens CACTUS zugeschrieben wird. Der Angriff war synchronisiert und zielte auf das Virtualisierungsinfrastruktur ab, einschließlich einer Sicherheitslücke im Ivanti Sentry-Server.
Ransomware bleibt weiterhin eine lukrative Einnahmequelle für finanziell motivierte Bedrohungsakteure, und die Forderungen sind im Vergleich zum Vorjahr um 20% gestiegen. Es gibt jedoch keine Garantie für die Wiederherstellung der Daten und Systeme nach Zahlung des Lösegeldes. Es wurde auch festgestellt, dass viele Opfer erneut angegriffen wurden, selbst nach Zahlung des Lösegeldes.