Les infrastructures critiques américaines ciblées de manière agressive par Phobos Ransomware

Les autorités américaines tirent la sonnette d'alarme sur le ciblage de plus en plus agressif des infrastructures critiques par le ransomware Phobos , un logiciel malveillant conçu pour crypter des fichiers et extorquer de l'argent aux victimes. Cet avertissement, émis par les principales agences de cybersécurité et de renseignement, notamment la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, le FBI et le Multi-State Information Sharing and Analysis Center (MS-ISAC), souligne la grave menace posée par cette forme de cybersécurité. la cybercriminalité.

Opérant selon un modèle de ransomware-as-a-service (RaaS), le ransomware Phobos a été impliqué dans des attaques contre diverses entités telles que les gouvernements municipaux et de comté, les services d'urgence, les établissements d'enseignement, les établissements de santé publics et les infrastructures critiques. Les auteurs ont réussi à soutirer des millions de dollars de rançon à leurs victimes.

La campagne du rançongiciel Phobos, active depuis mai 2019, a donné naissance à plusieurs variantes, notamment Eking, Eight, Elbie, Devos, Faust et Backmydata. Ces variantes ont été utilisées dans des attaques à motivation financière, comme l'a révélé Cisco Talos à la fin de l'année dernière.

Les données suggèrent que les opérations du rançongiciel Phobos sont gérées de manière centralisée, avec une autorité de contrôle détenant la clé de déchiffrement, ce qui ajoute une couche de complexité aux efforts de récupération des organisations concernées.

Le mode opératoire des attaques Phobos implique généralement un accès initial via des e-mails de phishing ou l'exploitation de vulnérabilités dans les services RDP (Remote Desktop Protocol). Une fois à l’intérieur d’un réseau, les acteurs de la menace déploient des outils et des techniques supplémentaires pour maintenir la persistance, échapper à la détection et élever les privilèges. Ils ont été observés utilisant les fonctions Windows intégrées pour voler des informations d'identification, contourner les contrôles de sécurité et élever les privilèges.

De plus, le groupe derrière le ransomware Phobos sait utiliser des outils open source comme Bloodhound et Sharphound pour recueillir des informations sur les structures de répertoires actifs, facilitant ainsi leurs déplacements au sein de réseaux compromis. Ils emploient également des méthodes d’exfiltration de fichiers et suppriment les clichés instantanés de volumes pour entraver les efforts de récupération.

La gravité des attaques de ransomware est soulignée par des incidents récents tels que l'attaque coordonnée décrite par Bitdefender, au cours de laquelle plusieurs entreprises ont été ciblées simultanément par un groupe connu sous le nom de CACTUS. Cette attaque, caractérisée par sa nature synchronisée et multiforme, a exploité les vulnérabilités de l'infrastructure de virtualisation, indiquant un éventail croissant de cibles pour les acteurs du ransomware.

Malgré les incitations financières offertes aux auteurs de menaces, le paiement de rançons ne garantit pas la récupération en toute sécurité des données ni l’immunité contre de futures attaques. Les données de Cybereason révèlent une tendance inquiétante selon laquelle une grande majorité des organisations attaquées une fois finissent par être à nouveau ciblées, souvent par le même adversaire, et sont parfois contraintes de payer des sommes encore plus élevées.

Alors que les attaques de ransomware continuent d’évoluer en termes de sophistication et d’impact, le renforcement des mesures de cybersécurité et l’adoption de stratégies de défense proactives deviennent primordiales pour les organisations et les gouvernements.