США обвинили хакеров-вымогателей Phobos в «агрессивных атаках на американскую инфраструктуру»
Изображение: Anthony DELANOIX (unsplash)
Сразу несколько американских федеральных ведомств выступили с обвинениями в отношении хакерской группировки Phobos, которая проводит свои атаки с применением вымогательского программного обеспечения. В заявлении американских госструктур по этому поводу говорится, что атаки этой группировки нацелены на правительство и объекты критической инфраструктуры США, сообщает издание The Hacker News.
Отдельно уточняется, что хакеры, использующие в своих атаках вымогательское программное обеспечение Phobos, нацелены на американские муниципальные и окружные органы власти, службы экстренной помощи, образовательные учреждения, учреждения здравоохранения и на объекты критически важной инфраструктуры. В США убеждены, что подобный подход позволяет злоумышленникам рассчитывать на получение серьёзного денежного вознаграждения в случае успешности проведённой атаки.
Специалисты по информационной безопасности из команды Cisco Talos заявляют, что хакеры-вымогатели группировки Phobos активны как минимум с мая 2019 года, и на данный момент есть несколько подтверждённых вариантов вымогательского ПО Phobos — они известны под названиями Eking, Eight, Elbie, Devos, Faust и Backmydata.
В Агентстве по кибербезопасности и защите инфраструктуры США (CISA) сообщают, что есть все основания полагать, что программы-вымогатели Phobos находятся под пристальным контролем некого «центрального органа», который контролирует все ключи расшифровки этого вымогательского ПО.
В цепочках атак, связанных с вирусом-вымогателем Phobos, именно фишинг обычно используется в качестве первоначального вектора доступа для перебрасывания скрытых полезных данных, например, вредоноса SmokeLoader, на целевое устройство.
В качестве альтернативы, уязвимые сети могут быть взломаны хакерами путём поиска открытых служб RDP и их использования посредством атаки методом перебора.
После успешного цифрового взлома злоумышленники отказываются от дополнительных инструментов удалённого доступа, используют методы внедрения процессов для выполнения вредоносного кода и уклонения от обнаружения, а также вносят изменения в реестр Windows для обеспечения устойчивости в скомпрометированных средах.
