Les agences américaines de cybersécurité et de renseignement ont mis en garde contre Rançongiciel Phobos attaques ciblant le gouvernement et les entités d’infrastructures critiques, décrivant les différentes tactiques et techniques que les acteurs malveillants ont adoptées pour déployer le logiciel malveillant de cryptage de fichiers.
« Structuré comme un modèle de ransomware as a service (RaaS), les acteurs du ransomware Phobos ont ciblé des entités telles que les gouvernements municipaux et de comté, les services d’urgence, l’éducation, la santé publique et les infrastructures critiques pour obtenir une rançon de plusieurs millions de dollars américains », a déclaré le gouvernement. dit.
L’avis provient de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, du Federal Bureau of Investigation (FBI) et du Multi-State Information Sharing and Analysis Center (MS-ISAC).
Actifs depuis mai 2019, plusieurs variantes du ransomware Phobos ont été identifiées à ce jour, à savoir Eking, Eight, Elbie, Devos, Faust et Backmydata. À la fin de l’année dernière, Cisco Talos a révélé que les auteurs de la menace derrière le ransomware 8Base exploitaient une variante du ransomware Phobos pour mener leurs attaques à motivation financière.
Il existe des preuves suggérant que Phobos est probablement étroitement géré par une autorité centrale, qui contrôle la clé de déchiffrement privée du ransomware.
Les chaînes d’attaque impliquant la souche ransomware ont généralement exploité le phishing comme vecteur d’accès initial pour supprimer des charges utiles furtives comme SmokeLoader. Alternativement, les réseaux vulnérables sont compromis en recherchant les services RDP exposés et en les exploitant au moyen d’une attaque par force brute.
Une intrusion numérique réussie est suivie par le fait que les auteurs de la menace abandonnent des outils d’accès à distance supplémentaires, profitant ainsi de techniques d’injection de procédé pour exécuter du code malveillant et échapper à la détection, et apporter des modifications au registre Windows pour maintenir la persistance dans les environnements compromis.
« De plus, des acteurs Phobos ont été observés utilisant les fonctions intégrées de l’API Windows pour voler des jetons, contourner les contrôles d’accès et créer de nouveaux processus pour élever les privilèges en tirant parti du processus SeDebugPrivilege », ont indiqué les agences. « Les acteurs Phobos tentent de s’authentifier à l’aide de hachages de mots de passe mis en cache sur les machines victimes jusqu’à ce qu’ils atteignent l’accès administrateur de domaine. »
Le groupe de lutte contre la cybercriminalité est également connu pour utiliser des outils open source tels que Limier et Sharphound pour énumérer le répertoire actif. L’exfiltration de fichiers est réalisé via WinSCP et Mega.io, après quoi les clichés instantanés de volume sont supprimés pour tenter de rendre la récupération plus difficile.
Cette divulgation intervient alors que Bitdefender détaille une attaque de ransomware méticuleusement coordonnée affectant simultanément deux sociétés distinctes. L’attaque, décrite comme synchronisée et multiforme, a été attribuée à un acteur du ransomware appelé CACTUS.
« CACTUS a continué à infiltrer le réseau d’une organisation, en implantant divers types d’outils et de tunnels d’accès à distance sur différents serveurs », a déclaré Martin Zugec, directeur des solutions techniques chez Bitdefender. dit dans un rapport publié la semaine dernière.
« Lorsqu’ils ont identifié une opportunité de rejoindre une autre entreprise, ils ont momentanément interrompu leurs opérations pour infiltrer l’autre réseau. Les deux entreprises font partie du même groupe, mais opèrent de manière indépendante, maintenant des réseaux et des domaines séparés sans aucune relation de confiance établie. »
L’attaque est également remarquable par le ciblage de l’infrastructure de virtualisation de la société anonyme, ce qui indique que les acteurs de CACTUS ont élargi leur champ d’action au-delà des hôtes Windows pour s’attaquer aux hôtes Hyper-V et VMware ESXi.
Il a également exploité une faille de sécurité critique (CVE-2023-38035, score CVSS : 9,8) dans un serveur Ivanti Sentry exposé sur Internet moins de 24 heures après sa divulgation initiale en août 2023, mettant une fois de plus en évidence une militarisation opportuniste et rapide des vulnérabilités récemment publiées. .
Les ransomwares continuent d’être une source de revenus majeure pour les acteurs de la menace motivés par l’argent, les demandes initiales de ransomware atteignant un médiane de 600 000 $ en 2023, soit un bond de 20 % par rapport à l’année précédente, selon Arctic Wolf. Au quatrième trimestre 2023, le paiement moyen d’une rançon s’élevait à 568 705 dollars par victime.
De plus, payer une demande de rançon ne constitue pas une protection future. Il n’y a aucune garantie que les données et les systèmes d’une victime seront récupérés en toute sécurité et que les attaquants ne vendront pas les données volées sur des forums clandestins ou ne les attaqueront pas à nouveau.
Données partagé par la société de cybersécurité Cybereason montre que « un taux stupéfiant de 78 % [of organizations] ont été à nouveau attaquées après avoir payé la rançon – 82 % d’entre elles dans un délai d’un an », dans certains cas par le même acteur menaçant. Parmi ces victimes, 63 % se sont vu « demander de payer plus la deuxième fois ».