Les agences am\u00e9ricaines de cybers\u00e9curit\u00e9 et de renseignement ont mis en garde contre Ran\u00e7ongiciel Phobos<\/strong> attaques ciblant le gouvernement et les entit\u00e9s d\u2019infrastructures critiques, d\u00e9crivant les diff\u00e9rentes tactiques et techniques que les acteurs malveillants ont adopt\u00e9es pour d\u00e9ployer le logiciel malveillant de cryptage de fichiers.<\/p>\n “Structur\u00e9 comme un mod\u00e8le de ransomware as a service (RaaS), les acteurs du ransomware Phobos ont cibl\u00e9 des entit\u00e9s telles que les gouvernements municipaux et de comt\u00e9, les services d’urgence, l’\u00e9ducation, la sant\u00e9 publique et les infrastructures critiques pour obtenir une ran\u00e7on de plusieurs millions de dollars am\u00e9ricains”, a d\u00e9clar\u00e9 le gouvernement. dit<\/a>.<\/p>\n L’avis provient de la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis, du Federal Bureau of Investigation (FBI) et du Multi-State Information Sharing and Analysis Center (MS-ISAC).<\/p>\n Actifs depuis mai 2019, plusieurs variantes du ransomware Phobos ont \u00e9t\u00e9 identifi\u00e9es \u00e0 ce jour, \u00e0 savoir Eking, Eight, Elbie, Devos, Faust et Backmydata. \u00c0 la fin de l’ann\u00e9e derni\u00e8re, Cisco Talos a r\u00e9v\u00e9l\u00e9 que les auteurs de la menace derri\u00e8re le ransomware 8Base exploitaient une variante du ransomware Phobos pour mener leurs attaques \u00e0 motivation financi\u00e8re.<\/p>\n Il existe des preuves sugg\u00e9rant que Phobos est probablement \u00e9troitement g\u00e9r\u00e9 par une autorit\u00e9 centrale, qui contr\u00f4le la cl\u00e9 de d\u00e9chiffrement priv\u00e9e du ransomware.<\/p>\n Les cha\u00eenes d\u2019attaque impliquant la souche ransomware ont g\u00e9n\u00e9ralement exploit\u00e9 le phishing comme vecteur d\u2019acc\u00e8s initial pour supprimer des charges utiles furtives comme SmokeLoader. Alternativement, les r\u00e9seaux vuln\u00e9rables sont compromis en recherchant les services RDP expos\u00e9s et en les exploitant au moyen d’une attaque par force brute.<\/p>\n Une intrusion num\u00e9rique r\u00e9ussie est suivie par le fait que les auteurs de la menace abandonnent des outils d’acc\u00e8s \u00e0 distance suppl\u00e9mentaires, profitant ainsi de techniques d’injection de proc\u00e9d\u00e9<\/a> pour ex\u00e9cuter du code malveillant et \u00e9chapper \u00e0 la d\u00e9tection, et apporter des modifications au registre Windows pour maintenir la persistance dans les environnements compromis.<\/p>\n “De plus, des acteurs Phobos ont \u00e9t\u00e9 observ\u00e9s utilisant les fonctions int\u00e9gr\u00e9es de l’API Windows pour voler des jetons, contourner les contr\u00f4les d’acc\u00e8s et cr\u00e9er de nouveaux processus pour \u00e9lever les privil\u00e8ges en tirant parti du processus SeDebugPrivilege”, ont indiqu\u00e9 les agences. “Les acteurs Phobos tentent de s’authentifier \u00e0 l’aide de hachages de mots de passe mis en cache sur les machines victimes jusqu’\u00e0 ce qu’ils atteignent l’acc\u00e8s administrateur de domaine.”<\/p>\n Le groupe de lutte contre la cybercriminalit\u00e9 est \u00e9galement connu pour utiliser des outils open source tels que Limier<\/a> et Sharphound pour \u00e9num\u00e9rer le r\u00e9pertoire actif. L’exfiltration de fichiers est r\u00e9alis\u00e9<\/a> via WinSCP et Mega.io, apr\u00e8s quoi les clich\u00e9s instantan\u00e9s de volume sont supprim\u00e9s pour tenter de rendre la r\u00e9cup\u00e9ration plus difficile.<\/p>\n Cette divulgation intervient alors que Bitdefender d\u00e9taille une attaque de ransomware m\u00e9ticuleusement coordonn\u00e9e affectant simultan\u00e9ment deux soci\u00e9t\u00e9s distinctes. L’attaque, d\u00e9crite comme synchronis\u00e9e et multiforme, a \u00e9t\u00e9 attribu\u00e9e \u00e0 un acteur du ransomware appel\u00e9 CACTUS.<\/p>\n “CACTUS a continu\u00e9 \u00e0 infiltrer le r\u00e9seau d’une organisation, en implantant divers types d’outils et de tunnels d’acc\u00e8s \u00e0 distance sur diff\u00e9rents serveurs”, a d\u00e9clar\u00e9 Martin Zugec, directeur des solutions techniques chez Bitdefender. dit<\/a> dans un rapport publi\u00e9 la semaine derni\u00e8re.<\/p>\n “Lorsqu’ils ont identifi\u00e9 une opportunit\u00e9 de rejoindre une autre entreprise, ils ont momentan\u00e9ment interrompu leurs op\u00e9rations pour infiltrer l’autre r\u00e9seau. Les deux entreprises font partie du m\u00eame groupe, mais op\u00e8rent de mani\u00e8re ind\u00e9pendante, maintenant des r\u00e9seaux et des domaines s\u00e9par\u00e9s sans aucune relation de confiance \u00e9tablie.”<\/p>\n L’attaque est \u00e9galement remarquable par le ciblage de l’infrastructure de virtualisation de la soci\u00e9t\u00e9 anonyme, ce qui indique que les acteurs de CACTUS ont \u00e9largi leur champ d’action au-del\u00e0 des h\u00f4tes Windows pour s’attaquer aux h\u00f4tes Hyper-V et VMware ESXi.<\/p>\n Il a \u00e9galement exploit\u00e9 une faille de s\u00e9curit\u00e9 critique (CVE-2023-38035, score CVSS : 9,8) dans un serveur Ivanti Sentry expos\u00e9 sur Internet moins de 24 heures apr\u00e8s sa divulgation initiale en ao\u00fbt 2023, mettant une fois de plus en \u00e9vidence une militarisation opportuniste et rapide des vuln\u00e9rabilit\u00e9s r\u00e9cemment publi\u00e9es. .<\/p>\n Les ransomwares continuent d\u2019\u00eatre une source de revenus majeure pour les acteurs de la menace motiv\u00e9s par l\u2019argent, les demandes initiales de ransomware atteignant un m\u00e9diane de 600 000 $<\/a> en 2023, soit un bond de 20 % par rapport \u00e0 l’ann\u00e9e pr\u00e9c\u00e9dente, selon Arctic Wolf. Au quatri\u00e8me trimestre 2023, le paiement moyen d\u2019une ran\u00e7on s\u2019\u00e9levait \u00e0 568\u00a0705 dollars par victime.<\/p>\n De plus, payer une demande de ran\u00e7on ne constitue pas une protection future. Il n’y a aucune garantie que les donn\u00e9es et les syst\u00e8mes d’une victime seront r\u00e9cup\u00e9r\u00e9s en toute s\u00e9curit\u00e9 et que les attaquants ne vendront pas les donn\u00e9es vol\u00e9es sur des forums clandestins ou ne les attaqueront pas \u00e0 nouveau.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Phobos-Ransomware-cible-agressivement-les-infrastructures-critiques-americaines.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n