05/03/24
Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало консультативное предупреждение об известных методах кибератак и индикаторах взлома группировки Phobos.
В предупреждении говорится, что с 2019 года Phobos, действующая по модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS), нападала на информационные системы муниципальных и окружных властей, экстренных служб, учебных заведений, медучреждений и других критически важных объектов. Модель RaaS позволяет людям с минимальными знаниями и опытом запускать атаки, используя готовые инструменты, поясняют в Securitylab.
«Phobos — довольно стандартный вымогатель. Мы регулярно видим их атаки на государственный сектор, что и заставляет нас так пристально за ними следить», — рассказал Рэнди Роуз, вице-президент Центра интернет-безопасности. Эта некоммерческая организация управляет Межштатным центром обмена информацией и анализа (MS-ISAC), финансируемым федеральными властями.
В предупреждении CISA отмечается: «MS-ISAC регулярно получает оповещения об инцидентах с вымогателем Phobos, затрагивающих органы власти штатов, муниципалитетов, общин и территорий». При этом точное количество атак неизвестно.
В 2023 году эксперты приписали Phobos 67 инцидентов только за май. Большинство жертв находились в США и Бразилии.
Хотя CISA и другие федеральные агентства против выплаты выкупа, так как это не гарантирует восстановления данных и сервисов, Phobos удалось выманить у жертв несколько миллионов долларов с помощью вымогательских уловок. По данным отчета Минздрава США за 2021 год, средний размер выкупа составляет около $38 100.
Вымогатель Phobos использует два основных способа проникновения в системы. Первый — фишинг, кража учетных данных путем обмана пользователей.
Второй — прямой удаленный доступ через протокол RDP (Remote Desktop Protocol) Microsoft для дистанционного управления ПК.
Роуз отмечает, что фишинговые кампании — самый распространенный и эффективный метод кибератак, не из-за простоты реализации, а из-за человеческого фактора.
После проникновения в систему Phobos внедряет свой код в важные системные компоненты, такие как папка автозагрузки Windows, создает новые ключи реестра. Затем он находит и шифрует локальные файлы пользователей, общие сетевые диски и другие данные. После этого жертв принуждают заплатить выкуп за расшифровку.
Поскольку дешифровщиков Phobos не существует, кроме тех, что контролируются самими создателями вымогателя, CISA рекомендует организациям принять стандартные меры кибербезопасности. В том числе обезопасить протокол удаленного доступа RDP, использовать надежные сложные пароли, блокировать учетные записи после нескольких неудачных попыток входа, применять многофакторную аутентификацию, пользоваться VPN и регулярно обновлять ПО.
