
Rhysida Ransomware: Κυβερνοεπίθεση σε Νοσοκομείο Παίδων
5 Μαρτίου, 2024
Ποια η σημασία της αποκρυπτογράφησης στην κυβερνοασφάλεια;
7 Μαρτίου, 2024Υπηρεσίες των ΗΠΑ, όπως η CISA, το FBI και το MS-ISAC, προειδοποιούν σχετικά με τις επιθέσεις που έχει αναπτύξει η συμμορία Phobos Ransomware, η οποία στρέφεται κατά της κυβέρνησης και των κρίσιμων υποδομών της.
Λειτουργώντας ως υπηρεσία ransomware-as-a-service (RaaS) από τον Μάιο του 2019, η ransomware συμμορία Phobos έχει επιτύχει να επιτεθεί σε διάφορους οργανισμούς, απαιτώντας εκατομμύρια δολάρια από τις Ηνωμένες Πολιτείες. Το ransomware διαθέτει πολλαπλές εκδοχές, όπως Eking, Eight, Elbie, Devos, Faust και Backmydata, με αποδείξεις υποδεικνύουν κεντρική διαχείριση των κλειδιών αποκρυπτογράφησης.
Το Phobos χρησιμοποιεί ποικίλες τακτικές για την εισβολή του, συμπεριλαμβανομένου του phishing και της εκμετάλλευσης των ευπαθειών στο Remote Desktop Protocol (RDP). Αφότου αποκτήσουν πρόσβαση στο δίκτυο, οι χάκερς χρησιμοποιούν τεχνικές όπως η εισαγωγή εργαλείων απομακρυσμένης πρόσβασης, η εκτέλεση διεργασιών και η τροποποίηση του Windows Registry για να αποκτήσουν διαχείριση. Επιπλέον, χρησιμοποιούν ενσωματωμένες λειτουργίες του Windows API για την παράνομη απόκτηση δικαιωμάτων και την επέκταση των προνομίων. Εργαλεία ανοικτού κώδικα όπως τα Bloodhound και Sharphound χρησιμοποιούνται για την ανίχνευση των χρηστών και στη συνέχεια γίνεται κρυπτογράφηση των αρχείων με τη χρήση των WinSCP και Mega.io, με σκοπό την καταστροφή αντιγράφων ασφαλείας για την αδυναμία ανάκτησής τους.
Η Bitdefender αναφέρθηκε σε μια συντονισμένη επίθεση ransomware που αποδίδεται στο CACTUS, η οποία επιτίθεται σε δύο ανεξάρτητες εταιρείες ταυτόχρονα. Η επίθεση περιλάμβανε την ενσωμάτωση εργαλείων απομακρυσμένης πρόσβασης σε διακομιστές και την εκμετάλλευση μιας κρίσιμης ευπάθειας σε έναν διακομιστή Ivanti Sentry.
Αξιοσημείωτο είναι, ότι η επίθεση επεκτείνεται και εκτός των κεντρικών υπολογιστών των Windows προς τους κεντρικούς υπολογιστές Hyper-V και VMware ESXi, αποδεικνύοντας το εύρος που έχουν να εκμεταλλευτούν οι χάκερς. Οι ransomware επιθέσεις παραμένουν επικερδείς για τους χάκερς, με τις απαιτήσεις τους να φτάνουν έως και 600.000 δολάρια για λύτρα έως το 2023, και τον μέσο όρο πληρωμής λύτρων ανά θύμα να ανέρχεται στα 568.705 δολάρια κατά το τρίτο τρίμηνο του 2023. Παρ’ όλα αυτά, η πληρωμή των λύτρων δεν εξασφαλίζει την ανάκτηση δεδομένων ή την προστασία από μελλοντικές επιθέσεις.

Σύμφωνα με τα δεδομένα της Cybereason, ένα σημαντικό ποσοστό οργανισμών έχει υποστεί κυβερνοεπίθεση ξανά μετά την αποκατάσταση των δεδομένων και αφού έχει πληρώσει τα λύτρα. Κάποιοι από αυτούς δέχονται τη δεύτερη φορά αυξημένα αιτήματα για λύτρα, κάτι που υπογραμμίζει τον κίνδυνο όχι μόνο για μία επίθεση ransomware, αλλά και για πολλές ακόμη που μπορεί να ακολουθήσουν.