Amerikaanse cyberveiligheids- en inlichtingendiensten hebben hiervoor gewaarschuwd Phobos-ransomware aanvallen gericht op de overheid en kritieke infrastructuur-entiteiten, waarbij de verschillende tactieken en technieken worden beschreven die de bedreigingsactoren hebben aangenomen om de bestandsversleutelende malware in te zetten.
“Gestructureerd als een ransomware as a service (RaaS)-model hebben Phobos-ransomware-actoren zich gericht op entiteiten zoals gemeentelijke en provinciale overheden, hulpdiensten, onderwijs, openbare gezondheidszorg en kritieke infrastructuur om met succes enkele miljoenen dollars los te krijgen”, aldus de regering.
Het advies is afkomstig van de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI) en het Multi-State Information Sharing and Analysis Center (MS-ISAC).
Actief sinds mei 2019 zijn tot nu toe meerdere varianten van de Phobos-ransomware geïdentificeerd, namelijk Eking, Eight, Elbie, Devos, Faust en Backmydata. Eind vorig jaar onthulde Cisco Talos dat de bedreigingsactoren achter de 8Base-ransomware een Phobos-ransomwarevariant gebruiken om hun financieel gemotiveerde aanvallen uit te voeren.
Er zijn aanwijzingen dat Phobos waarschijnlijk nauw wordt beheerd door een centrale autoriteit, die de privé-decryptiesleutel van de ransomware controleert.
Aanvalsketens waarbij ransomware betrokken is, maken doorgaans gebruik van phishing als initiële toegangsvector om heimelijke ladingen zoals SmokeLoader te droppen. Als alternatief kunnen kwetsbare netwerken worden overtreden door op zoek te gaan naar blootgestelde RDP-services en deze te exploiteren door middel van een brute-force-aanval.
Een succesvolle digitale inbraak wordt gevolgd door het laten vallen van extra tools voor externe toegang, waarbij gebruik wordt gemaakt van procesinjectietechnieken om kwaadaardige code uit te voeren en detectie te omzeilen, en het aanbrengen van wijzigingen in het Windows-register om de persistentie binnen gecompromitteerde omgevingen te behouden.
“Bovendien is waargenomen dat Phobos-actoren ingebouwde Windows API-functies gebruiken om tokens te stelen, toegangscontroles te omzeilen en nieuwe processen te creëren om privileges te escaleren door gebruik te maken van het SeDebugPrivilege-proces”, aldus de instanties. “Phobos-actoren proberen zich te authenticeren met behulp van in de cache opgeslagen wachtwoord-hashes op slachtoffermachines totdat ze toegang tot de domeinbeheerder bereiken.”
Het is ook bekend dat de e-crime-groep open-sourcetools zoals Bloodhound en Sharphound gebruikt om de active directory op te sommen. Bestandsexfiltratie wordt bereikt via WinSCP en Mega.io, waarna volumeschaduwkopieën worden verwijderd in een poging het herstel moeilijker te maken.
De onthulling komt op het moment dat Bitdefender een nauwgezet gecoördineerde ransomware-aanval heeft beschreven die tegelijkertijd twee afzonderlijke bedrijven treft. De aanval, beschreven als gesynchroniseerd en veelzijdig, wordt toegeschreven aan een ransomware-acteur genaamd CACTUS.
“CACTUS ging door met het infiltreren van het netwerk van één organisatie, waarbij verschillende soorten tools voor externe toegang en tunnels over verschillende servers werden geïmplanteerd”, zei Martin Zugec, directeur technische oplossingen bij Bitdefender, in een rapport dat vorige week werd gepubliceerd.
“Toen ze een mogelijkheid zagen om naar een ander bedrijf te verhuizen, hebben ze hun activiteiten tijdelijk stopgezet om het andere netwerk te infiltreren. Beide bedrijven maken deel uit van dezelfde groep, maar opereren onafhankelijk en onderhouden afzonderlijke netwerken en domeinen zonder enige gevestigde vertrouwensrelatie.”
De aanval valt ook op door de aanvallen op de virtualisatie-infrastructuur van het niet nader genoemde bedrijf, wat aangeeft dat CACTUS-actoren hun focus hebben verbreed buiten Windows-hosts om Hyper-V- en VMware ESXi-hosts aan te vallen.
Het maakte ook gebruik van een kritieke beveiligingsfout (CVE-2023-38035, CVSS-score: 9,8) in een aan internet blootgestelde Ivanti Sentry-server, minder dan 24 uur na de eerste onthulling in augustus 2023, wat opnieuw de opportunistische en snelle bewapening van nieuw gepubliceerde kwetsbaarheden benadrukt. .
Ransomware blijft een belangrijke geldverstrekker voor financieel gemotiveerde bedreigingsactoren, waarbij de initiële eisen voor ransomware in 2023 een gemiddelde van 600.000 dollar bereiken, een stijging van 20% ten opzichte van het voorgaande jaar, aldus Arctic Wolf. Vanaf het vierde kwartaal van 2023 bedraagt het gemiddelde losgeld $568.705 per slachtoffer.
Bovendien levert het betalen van losgeld geen toekomstige bescherming op. Er is geen garantie dat de gegevens en systemen van een slachtoffer veilig worden hersteld en dat de aanvallers de gestolen gegevens niet op ondergrondse fora zullen verkopen of opnieuw zullen aanvallen.
Uit gegevens gedeeld door cyberbeveiligingsbedrijf Cybereason blijkt dat “maar liefst 78% [of organizations] werden opnieuw aangevallen na het betalen van het losgeld – 82% van hen binnen een jaar”, in sommige gevallen door dezelfde dreigingsacteur. Van deze slachtoffers werd 63% “gevraagd om de tweede keer meer te betalen.”
