Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Только за прошлый май группировке Phobos удалось провести 67 кибератак

05/03/24

hack76-Mar-05-2024-11-02-40-3586-AM

Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало консультативное предупреждение об известных методах кибератак и индикаторах взлома группировки Phobos.

В предупреждении говорится, что с 2019 года Phobos, действующая по модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS), нападала на информационные системы муниципальных и окружных властей, экстренных служб, учебных заведений, медучреждений и других критически важных объектов. Модель RaaS позволяет людям с минимальными знаниями и опытом запускать атаки, используя готовые инструменты, поясняют в Securitylab.

«Phobos — довольно стандартный вымогатель. Мы регулярно видим их атаки на государственный сектор, что и заставляет нас так пристально за ними следить», — рассказал Рэнди Роуз, вице-президент Центра интернет-безопасности. Эта некоммерческая организация управляет Межштатным центром обмена информацией и анализа (MS-ISAC), финансируемым федеральными властями.

В предупреждении CISA отмечается: «MS-ISAC регулярно получает оповещения об инцидентах с вымогателем Phobos, затрагивающих органы власти штатов, муниципалитетов, общин и территорий». При этом точное количество атак неизвестно.

В 2023 году эксперты приписали Phobos 67 инцидентов только за май. Большинство жертв находились в США и Бразилии.

Хотя CISA и другие федеральные агентства против выплаты выкупа, так как это не гарантирует восстановления данных и сервисов, Phobos удалось выманить у жертв несколько миллионов долларов с помощью вымогательских уловок. По данным отчета Минздрава США за 2021 год, средний размер выкупа составляет около $38 100.

Вымогатель Phobos использует два основных способа проникновения в системы. Первый — фишинг, кража учетных данных путем обмана пользователей.

Второй — прямой удаленный доступ через протокол RDP (Remote Desktop Protocol) Microsoft для дистанционного управления ПК.

Роуз отмечает, что фишинговые кампании — самый распространенный и эффективный метод кибератак, не из-за простоты реализации, а из-за человеческого фактора. 

После проникновения в систему Phobos внедряет свой код в важные системные компоненты, такие как папка автозагрузки Windows, создает новые ключи реестра. Затем он находит и шифрует локальные файлы пользователей, общие сетевые диски и другие данные. После этого жертв принуждают заплатить выкуп за расшифровку.

Поскольку дешифровщиков Phobos не существует, кроме тех, что контролируются самими создателями вымогателя, CISA рекомендует организациям принять стандартные меры кибербезопасности. В том числе обезопасить протокол удаленного доступа RDP, использовать надежные сложные пароли, блокировать учетные записи после нескольких неудачных попыток входа, применять многофакторную аутентификацию, пользоваться VPN и регулярно обновлять ПО.

Темы:ПреступленияКибератакиВымогателиинструкцииCISA
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...