Las agencias de inteligencia y ciberseguridad de EE. UU. han advertido sobre Fobos ransomware<\/strong> ataques dirigidos a entidades gubernamentales y de infraestructura cr\u00edtica, que describen las diversas t\u00e1cticas y t\u00e9cnicas que los actores de amenazas han adoptado para implementar el malware de cifrado de archivos.<\/p>\n “Estructurado como un modelo de ransomware como servicio (RaaS), los actores del ransomware Phobos se han dirigido a entidades que incluyen gobiernos municipales y de condado, servicios de emergencia, educaci\u00f3n, atenci\u00f3n m\u00e9dica p\u00fablica e infraestructura cr\u00edtica para rescatar con \u00e9xito varios millones de d\u00f3lares estadounidenses”, dijo el gobierno. dicho<\/a>.<\/p>\n El aviso proviene de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de An\u00e1lisis e Intercambio de Informaci\u00f3n Multiestatal (MS-ISAC).<\/p>\n Activo desde mayo de 2019, hasta la fecha se han identificado m\u00faltiples variantes del ransomware Phobos, a saber, Eking, Eight, Elbie, Devos, Faust y Backmydata. A fines del a\u00f1o pasado, Cisco Talos revel\u00f3 que los actores de amenazas detr\u00e1s del ransomware 8Base est\u00e1n aprovechando una variante del ransomware Phobos para llevar a cabo sus ataques con motivaci\u00f3n financiera.<\/p>\n Hay evidencia que sugiere que Phobos probablemente est\u00e9 estrechamente administrado por una autoridad central, que controla la clave privada de descifrado del ransomware.<\/p>\n Las cadenas de ataques que involucran la cepa de ransomware generalmente han aprovechado el phishing como vector de acceso inicial para lanzar cargas \u00fatiles sigilosas como SmokeLoader. Alternativamente, las redes vulnerables se violan buscando servicios RDP expuestos y explot\u00e1ndolos mediante un ataque de fuerza bruta.<\/p>\n A una irrupci\u00f3n digital exitosa le sigue que los actores de amenazas dejen caer herramientas adicionales de acceso remoto, aprovechando t\u00e9cnicas de inyecci\u00f3n de procesos<\/a> para ejecutar c\u00f3digo malicioso y evadir la detecci\u00f3n, y realizar modificaciones en el Registro de Windows para mantener la persistencia dentro de entornos comprometidos.<\/p>\n “Adem\u00e1s, se ha observado que los actores de Phobos utilizan funciones API integradas de Windows para robar tokens, eludir los controles de acceso y crear nuevos procesos para escalar privilegios aprovechando el proceso SeDebugPrivilege”, dijeron las agencias. “Los actores de Phobos intentan autenticarse utilizando hashes de contrase\u00f1as almacenados en cach\u00e9 en las m\u00e1quinas v\u00edctimas hasta que alcanzan el acceso de administrador del dominio”.<\/p>\n Tambi\u00e9n se sabe que el grupo de delitos electr\u00f3nicos utiliza herramientas de c\u00f3digo abierto como Sabueso<\/a> y Sharphound para enumerar el directorio activo. La exfiltraci\u00f3n de archivos es logrado<\/a> a trav\u00e9s de WinSCP y Mega.io, despu\u00e9s de lo cual las instant\u00e1neas de volumen se eliminan en un intento de dificultar la recuperaci\u00f3n.<\/p>\n La divulgaci\u00f3n se produce cuando Bitdefender detalla un ataque de ransomware meticulosamente coordinado que afecta a dos empresas distintas al mismo tiempo. El ataque, descrito como sincronizado y multifac\u00e9tico, se ha atribuido a un actor de ransomware llamado CACTUS.<\/p>\n “CACTUS continu\u00f3 infiltr\u00e1ndose en la red de una organizaci\u00f3n, implantando varios tipos de herramientas de acceso remoto y t\u00faneles en diferentes servidores”, Martin Zugec, director de soluciones t\u00e9cnicas de Bitdefender, dicho<\/a> en un informe publicado la semana pasada.<\/p>\n “Cuando identificaron una oportunidad de mudarse a otra empresa, pausaron moment\u00e1neamente su operaci\u00f3n para infiltrarse en la otra red. Ambas empresas son parte del mismo grupo, pero operan de forma independiente, manteniendo redes y dominios separados sin ninguna relaci\u00f3n de confianza establecida”.<\/p>\n El ataque tambi\u00e9n se destaca por apuntar a la infraestructura de virtualizaci\u00f3n de la compa\u00f1\u00eda an\u00f3nima, lo que indica que los actores de CACTUS han ampliado su enfoque m\u00e1s all\u00e1 de los hosts de Windows para atacar los hosts Hyper-V y VMware ESXi.<\/p>\n Tambi\u00e9n aprovech\u00f3 una falla de seguridad cr\u00edtica (CVE-2023-38035, puntuaci\u00f3n CVSS: 9,8) en un servidor Ivanti Sentry expuesto a Internet menos de 24 horas despu\u00e9s de su divulgaci\u00f3n inicial en agosto de 2023, lo que una vez m\u00e1s destaca el uso r\u00e1pido y oportunista de vulnerabilidades recientemente publicadas como arma. .<\/p>\n El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas con motivaci\u00f3n financiera, y las demandas iniciales de ransomware alcanzan un mediana de $600,000<\/a> en 2023, un aumento del 20% respecto al a\u00f1o anterior, seg\u00fan Arctic Wolf. A partir del cuarto trimestre de 2023, el pago de rescate promedio es de 568.705 d\u00f3lares por v\u00edctima.<\/p>\n Es m\u00e1s, pagar una demanda de rescate no equivale a protecci\u00f3n futura. No hay garant\u00eda de que los datos y sistemas de la v\u00edctima se recuperen de forma segura y que los atacantes no vendan los datos robados en foros clandestinos ni los ataquen nuevamente.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/03\/Phobos-Ransomware-se-dirige-agresivamente-a-la-infraestructura-critica-de.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n