Az amerikai kiberbiztonsági és hírszerzési ügynökségek arra figyelmeztettek, hogy a Phobos zsarolóvírus támadások célkeresztjében kormányzati és kritikus infrastruktúra szervezetek állnak, kifejtve a fenyegetést jelentő szereplők által alkalmazott különféle taktikákat és technikákat a fájltitkosító kártevő telepítéséhez.
“A zsarolóvírus mint szolgáltatás (RaaS) modellként strukturált Phobos zsarolóvírus szereplők olyan entitásokat céloztak meg, mint a városi és megyei kormányzatok, vészhelyzeti szolgáltatások, oktatás, közegészségügy és kritikus infrastruktúra, több millió dollárt sikeresen zsarolva ki az Egyesült Államokban,” mondta a kormány.
A figyelmeztetést az Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA), a Szövetségi Nyomozó Iroda (FBI) és a Multi-State Information Sharing and Analysis Center (MS-ISAC) adta ki.
2019 májusa óta aktív a Phobos zsarolóvírus több változatát azonosították már, nevezetesen az Eking, Eight, Elbie, Devos, Faust és Backmydata. Az elmúlt év végén a Cisco Talos felfedte, hogy a 8Base zsarolóvírus mögött álló fenyegető szereplők egy Phobos zsarolóvírus változatot használnak pénzügyileg motivált támadásaik végrehajtásához.
Bizonyítékok utalnak arra, hogy a Phobos valószínűleg szorosan egy központi hatóság által kezelt, amely irányítja a zsarolóvírus privát dekódoló kulcsát.
A zsarolóvírus törzsével kapcsolatos támadási láncok tipikusan phishinget használtak kezdeti hozzáférési vektorként az észrevétlen terhelések, mint a SmokeLoader leejtéséhez. Alternatív megoldásként a sebezhető hálózatokat RDP szolgáltatásoknak kitett pontjainak vadászatával törték fel, kihasználva őket brutális erő támadásokkal.
Egy sikeres digitális betörést követően a fenyegető szereplők további távoli hozzáférési eszközöket dobnak le, kihasználva a folyamatok injektálási technikáit a rosszindulatú kód végrehajtásához és az észlelés elkerüléséhez, valamint Windows Registry módosításokat végeznek a kompromittált környezeteken belüli kitartás fenntartása érdekében.
“Továbbá, a Phobos szereplőket megfigyelték, hogy beépített Windows API funkciókat használnak tokenek lopására, hozzáférési kontrollok megkerülésére és új folyamatok létrehozására a privilégiumok kiterjesztésére a SeDebugPrivilege folyamat kihasználásával,” mondták az ügynökségek. “A Phobos szereplők megkísérlik az azonosítást a célgépeken tárolt jelszó hash-ek használatával, amíg el nem érik a domain adminisztrátori hozzáférést.”
Az e-bűnözési csoport ismert arról, hogy nyílt forráskódú eszközöket, mint a Bloodhound és Sharphound használ az aktív könyvtár felsorolásához. A fájlkivonás a WinSCP és Mega.io segítségével történik, amely után a kötetárnyék másolatok törlésre kerülnek a helyreállítás megnehezítése érdekében.
A közlemény akkor került kiadásra, amikor a Bitdefender részletesen beszámolt egy gondosan koordinált zsarolóvírus-támadásról, amely egyszerre érintett két különálló céget. A támadást, amelyet szinkronizáltnak és sokrétűnek írtak le, egy CACTUS nevű zsarolóvírus-szereplőnek tulajdonítottak.
“CACTUS tovább folytatta az egyik szervezet hálózatának infiltrálását, különféle típusú távoli hozzáférési eszközöket és alagutakat ültetve be különböző szervereken,” mondta Martin Zugec, a Bitdefender technikai megoldások igazgatója egy múlt héten közzétett jelentésben.
“Amikor lehetőséget találtak egy másik céghez való átmozgásra, pillanatnyilag felfüggesztették műveletüket, hogy infiltrálják a másik hálózatot. Mindkét cég ugyanannak a csoportnak a része, de függetlenül működnek, külön hálózatokat és domaineket fenntartva bármilyen megalapozott bizalmi kapcsolat nélkül.”
A támadás azért is figyelemre méltó, mert célba vette a megnevezetlen cég virtualizációs infrastruktúráját, jelezve, hogy a CACTUS szereplők túlléptek a Windows hosztokon, hogy Hyper-V és VMware ESXi hosztokat támadjanak meg.
Ezen felül kihasznált egy kritikus biztonsági rést (CVE-2023-38035, CVSS pontszám: 9.8) egy interneten keresztül elérhető Ivanti Sentry szerveren, kevesebb mint 24 órával az eredeti közzététel után 2023 augusztusában, ismét kiemelve az újonnan közzétett sebezhetőségek opportunista és gyors fegyveresítését.
A zsarolóvírus továbbra is jelentős pénzforrás a pénzügyileg motivált fenyegető szereplők számára, az első zsarolóvírus-követelések mediánja elérte a 600 000 dollárt 2023-ban, 20%-os ugrás az előző évről az Arctic Wolf szerint. 2023 negyedik negyedévében az átlagos zsarolófizetés 568 705 dollár áldozatonként.
Ráadásul a zsarolásnak való engedés nem jelent jövőbeli védelmet. Nincs garancia arra, hogy az áldozat adatai és rendszerei biztonságosan helyreállnak, és hogy a támadók nem adják el az ellopott adatokat az alvilági fórumokon vagy újra támadják őket.
A Cybereason által megosztott adatok szerint “megdöbbentő 78% [a szervezetek] újra megtámadásra került a zsarolás kifizetése után – 82% belülük egy éven belül”, néhány esetben ugyanazon fenyegető szereplő által. Ezekből az áldozatokból 63%-ot “másodszor többet kellett fizetniük.”
Forrás: thehackernews.com
A mesterséges intelligencia (AI) világában új korszak kezdődött az Európai Unióban, amikor az Európai Bizottság zöld jelzést adott a világ első kifejezetten AI-ra szabott jogszabályának. Ez az előremutató lépés azután történt meg, hogy az EU tagállamai egyöntetű támogatásukról biztosították a jogszabály végleges verzióját, ezzel megnyitva az utat egy átfogó AI szabályozási keretrendszer kialakítása felé. Az Európai Parlament jogalkotói egyhangúlag, február 13-án megszavazták ezt az alapvető egyezséget, előkészítve az alapot egy áprilisi, jelentőségű parlamenti szavazásra.