As agências de cibersegurança e inteligência dos EUA alertaram sobre ataques de ransomware Phobos visando o governo e entidades de infraestrutura crítica, delineando as várias táticas e técnicas adotadas pelos atores da ameaça para implantar o malware de criptografia de arquivos.
"Estruturado como um modelo de ransomware como serviço (RaaS), os atores do ransomware Phobos visaram entidades, como governos municipais e distritais, serviços de emergência, educação, saúde pública e infraestrutura crítica para obter com sucesso vários milhões em dólares americanos", disse o governo.
O comunicado vem da Agência de Cibersegurança e Segurança de Infraestrutura dos EUA (CISA), o Federal Bureau of Investigation (FBI) e o Centro de Compartilhamento e Análise de Informações Multi-State (MS-ISAC).
Ativo desde maio de 2019, várias variantes do ransomware Phobos foram identificados até agora, a saber: Eking, Eight, Elbie, Devos, Faust e Backmydata.
No final do ano passado, a Cisco Talos revelou que os atores da ameaça por trás do ransomware 8Base aproveitam uma variante do ransomware Phobos para conduzir seus ataques motivados financeiramente.
Há evidências que sugerem que Phobos provavelmente é gerenciado de perto por uma autoridade central, a qual controla a chave de descriptografia privada do ransomware.
Cadeias de ataque envolvendo a cepa de ransomware normalmente utilizam a phishing como um vetor de acesso inicial para descartar payloads como o SmokeLoader.
Alternativamente, redes vulneráveis são violadas procurando serviços RDP expostos e explorando-os por meio de um ataque de força bruta.
Uma invasão digital bem-sucedida é seguida pelos atores da ameaça descartando ferramentas adicionais de acesso remoto, tirando proveito das técnicas de injeção de processo para executar código malicioso e evadir a detecção, além de fazer modificações no Registro do Windows para manter a persistência em ambientes comprometidos.
"Além disso, os atores do Phobos foram observados usando funções da API do Windows para roubar tokens, contornar controles de acesso e criar novos processos para elevar privilégios por meio do processo SeDebugPrivilege", disseram as agências.
“Os atores do Phobos tentam autenticar usando hashes de senhas armazenadas em cache nas máquinas vítimas até que obtenham acesso de administrador de domínio."
O grupo de e-crime também é conhecido por usar ferramentas de código aberto como Bloodhound e Sharphound para enumerar o diretório ativo.
A exfiltração de arquivos é realizada via WinSCP e Mega[.]io, após o que as cópias de sombra de volume são excluídas na tentativa de dificultar a recuperação.
A revelação vem na sequência de relatos da Bitdefender sobre um ataque de ransomware meticulosamente coordenado que impactou duas empresas separadas simultaneamente.
O ataque, descrito como sincronizado e multifacetado, foi atribuído a um ator de ransomware chamado CACTUS.
“CACTUS continuou infiltrando a rede de uma organização, implantando vários tipos de ferramentas de acesso remoto e túneis em servidores diferentes", disse Martin Zugec, diretor de soluções técnicas da Bitdefender, em um relatório publicado na semana passada.
"Quando identificaram uma oportunidade de se mover para outra empresa, momentaneamente pausaram a operação para infiltrar a outra rede.
Ambas as empresas fazem parte do mesmo grupo, mas operam independentemente, mantendo redes e domínios separados sem nenhum relacionamento de confiança estabelecido."
O ataque também é notável pelo direcionamento à infraestrutura de virtualização da empresa não nomeada, indicando que os atores do CACTUS ampliaram seu foco além dos hospedeiros Windows para atingir os hospedeiros Hyper-V e VMware ESXi.
Também aproveitou uma falha de segurança crítica (
CVE-2023-38035
, pontuação CVSS: 9.8) em um servidor Ivanti Sentry exposto à internet menos de 24 horas após sua divulgação inicial em agosto de 2023.
Isso destaca mais uma vez o uso oportunista e rápido de recém-publicadas vulnerabilidades.
O ransomware continua sendo uma grande fonte de dinheiro para os atores da ameaça motivados financeiramente, com demandas iniciais de ransomware atingindo uma mediana de $600.000 em 2023, um salto de 20% em relação ao ano anterior, de acordo com a Arctic Wolf.
No quarto trimestre de 2023, o pagamento médio do resgate ficou em $568.705 por vítima.
Além disso, pagar uma demanda de resgate não significa proteção futura.
Não há garantias de que os dados e sistemas da vítima serão recuperados com segurança e que os invasores não venderão os dados roubados em fóruns subterrâneos ou não os atacarão novamente.
Dados compartilhados pela empresa de cibersegurança Cybereason mostram que "impressionantes 78% [das organizações] foram atacadas novamente após pagar o resgate - 82% delas dentro de um ano", em alguns casos pelo mesmo ator de ameaça.
Destas vítimas, 63% foram "solicitados a pagar mais na segunda vez."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...