Kritische Infrastruktur der USA wird aggressiv von der Phobos-Ransomware angegriffen

US-Behörden schlagen Alarm wegen der zunehmend aggressiven Angriffe der Phobos-Ransomware auf kritische Infrastrukturen, einer Schadsoftware, die darauf abzielt, Dateien zu verschlüsseln und Geld von Opfern zu erpressen. Diese Warnung, herausgegeben von wichtigen Cybersicherheits- und Geheimdiensten, darunter der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA), dem FBI und dem Multi-State Information Sharing and Analysis Center (MS-ISAC), unterstreicht die große Bedrohung, die von dieser Form von Cybersicherheit ausgeht Cyberkriminalität.

Phobos-Ransomware basiert auf einem Ransomware-as-a-Service-Modell (RaaS) und war an Angriffen auf verschiedene Einrichtungen wie Kommunal- und Kreisverwaltungen, Rettungsdienste, Bildungseinrichtungen, öffentliche Gesundheitseinrichtungen und kritische Infrastrukturen beteiligt. Den Tätern ist es gelungen, Lösegelder in Millionenhöhe von ihren Opfern zu erpressen.

Die seit Mai 2019 aktive Phobos-Ransomware-Kampagne hat mehrere Varianten hervorgebracht, darunter Eking, Eight, Elbie, Devos, Faust und Backmydata. Diese Varianten wurden bei finanziell motivierten Angriffen eingesetzt, wie Cisco Talos Ende letzten Jahres enthüllte.

Es gibt Hinweise darauf, dass die Ransomware-Operationen von Phobos zentral verwaltet werden und eine Kontrollbehörde über den Entschlüsselungsschlüssel verfügt, was die Wiederherstellungsbemühungen für betroffene Organisationen noch komplexer macht.

Der Modus Operandi von Phobos-Angriffen umfasst typischerweise den Erstzugriff über Phishing-E-Mails oder die Ausnutzung von Schwachstellen in RDP-Diensten (Remote Desktop Protocol). Sobald sich die Bedrohungsakteure in einem Netzwerk befinden, setzen sie zusätzliche Tools und Techniken ein, um die Persistenz aufrechtzuerhalten, der Erkennung zu entgehen und Privilegien zu erweitern. Es wurde beobachtet, dass sie integrierte Windows-Funktionen nutzten, um Anmeldeinformationen zu stehlen, Sicherheitskontrollen zu umgehen und Berechtigungen zu erweitern.

Darüber hinaus ist die Gruppe hinter der Phobos-Ransomware geschickt darin, Open-Source-Tools wie Bloodhound und Sharphound zu nutzen, um Informationen über Active Directory-Strukturen zu sammeln und so deren Bewegung innerhalb kompromittierter Netzwerke zu erleichtern. Sie nutzen außerdem Datei-Exfiltrationsmethoden und löschen Volume-Schattenkopien, um Wiederherstellungsbemühungen zu behindern.

Die Schwere von Ransomware-Angriffen wird durch aktuelle Vorfälle wie den von Bitdefender beschriebenen koordinierten Angriff unterstrichen, bei dem mehrere Unternehmen gleichzeitig von einer Gruppe namens CACTUS angegriffen wurden. Dieser Angriff zeichnet sich durch seinen synchronisierten und vielschichtigen Charakter aus und nutzte Schwachstellen in der Virtualisierungsinfrastruktur aus, was darauf hindeutet, dass sich die Angriffsziele für Ransomware-Akteure erweitern.

Trotz der finanziellen Anreize für Bedrohungsakteure ist die Zahlung von Lösegeldern keine Garantie für die sichere Wiederherstellung von Daten oder Immunität gegen zukünftige Angriffe. Die Daten von Cybereason zeigen einen besorgniserregenden Trend, bei dem eine beträchtliche Mehrheit der einmal angegriffenen Organisationen erneut ins Visier genommen werden, oft von demselben Angreifer, und manchmal dazu gezwungen werden, noch höhere Beträge zu zahlen.

Da Ransomware-Angriffe immer ausgefeilter und wirkungsvoller werden, werden die Stärkung der Cybersicherheitsmaßnahmen und die Einführung proaktiver Verteidigungsstrategien für Organisationen und Regierungen gleichermaßen von größter Bedeutung.