Ciberseguridad 360 | Ransomware Phobos se dirige agresivamente a la infraestructura crítica de EE.UU.

Las agencias de ciberseguridad e inteligencia estadounidenses han advertido de los ataques del ransomware Phobos dirigidos a entidades gubernamentales y de infraestructuras cr�ticas, describiendo las diversas t�cticas y t�cnicas que los actores de la amenaza han adoptado para desplegar el malware de cifrado de archivos.

"Estructurado como un modelo de ransomware como servicio (RaaS), los autores del ransomware Phobos han atacado a entidades como gobiernos municipales y de condados, servicios de emergencia, educaci�n, sanidad p�blica e infraestructuras cr�ticas para conseguir rescates de varios millones de d�lares estadounidenses", afirma el Gobierno.

El aviso proviene de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA), la Oficina Federal de Investigaci�n (FBI) y el Centro Multiestatal de An�lisis e Intercambio de Informaci�n (MS-ISAC).

Activo desde mayo de 2019, hasta la fecha se han identificado m�ltiples variantes del ransomware Phobos, a saber, Eking, Eight, Elbie, Devos, Faust y Backmydata. A finales del a�o pasado, Cisco Talos revel� que los actores de amenazas detr�s del ransomware 8Base est�n aprovechando una variante del ransomware Phobos para llevar a cabo sus ataques con motivaciones financieras.

Hay pruebas que sugieren que Phobos probablemente est� estrechamente gestionado por una autoridad central, que controla la clave de descifrado privada del ransomware.

Las cadenas de ataque que implican la cepa de ransomware han aprovechado normalmente el phishing como vector de acceso inicial para lanzar cargas �tiles sigilosas como SmokeLoader. Por otra parte, las redes vulnerables se vulneran buscando servicios RDP expuestos y explot�ndolos mediante un ataque de fuerza bruta.

Una vez lograda la intrusi�n digital, los autores de la amenaza introducen herramientas adicionales de acceso remoto, aprovechan las t�cnicas de inyecci�n de procesos para ejecutar c�digo malicioso y eludir la detecci�n, y realizan modificaciones en el registro de Windows para mantener su persistencia en los entornos comprometidos.

"Adem�s, se ha observado que los actores de Phobos utilizan funciones integradas de la API de Windows para robar tokens, saltarse los controles de acceso y crear nuevos procesos para escalar privilegios aprovechando el proceso SeDebugPrivilege", se�alan las agencias. "Los actores de Phobos intentan autenticarse utilizando hashes de contrase�as almacenados en cach� en las m�quinas v�ctimas hasta que alcanzan el acceso de administrador de dominio".

Tambi�n se sabe que el grupo de ciberdelincuentes utiliza herramientas de c�digo abierto como Bloodhound y Sharphound para enumerar el directorio activo. La exfiltraci�n de archivos se realiza a trav�s de WinSCP y Mega.io, tras lo cual se eliminan las instant�neas de volumen en un intento de dificultar la recuperaci�n.

La revelaci�n se produce cuando Bitdefender detall� un ataque de ransomware meticulosamente coordinado que afect� a dos empresas distintas al mismo tiempo. El ataque, descrito como sincronizado y multifac�tico, ha sido atribuido a un actor de ransomware llamado CACTUS.

"CACTUS continu� infiltr�ndose en la red de una organizaci�n, implantando varios tipos de herramientas de acceso remoto y t�neles a trav�s de diferentes servidores", dijo Martin Zugec, director de soluciones t�cnicas de Bitdefender, en un informe publicado la semana pasada.

"Cuando identificaron la oportunidad de trasladarse a otra empresa, detuvieron moment�neamente su operaci�n para infiltrarse en la otra red. Ambas empresas forman parte del mismo grupo, pero operan de forma independiente, manteniendo redes y dominios separados sin ninguna relaci�n de confianza establecida."

El ataque tambi�n es notable por dirigirse a la infraestructura de virtualizaci�n de la empresa no identificada, lo que indica que los actores de CACTUS han ampliado su objetivo m�s all� de los hosts Windows para atacar hosts Hyper-V y VMware ESXi.

Tambi�n aprovech� un fallo de seguridad cr�tico (CVE-2023-38035, puntuaci�n CVSS: 9,8) en un servidor Ivanti Sentry expuesto en Internet menos de 24 horas despu�s de su divulgaci�n inicial en agosto de 2023, poniendo de relieve una vez m�s la r�pida y oportunista utilizaci�n de vulnerabilidades recientemente publicadas.

El ransomware sigue siendo una importante fuente de ingresos para los actores de amenazas con motivaciones financieras, con demandas iniciales de ransomware que alcanzan una media de 600.000 d�lares en 2023, un aumento del 20% respecto al a�o anterior, seg�n Arctic Wolf. En el cuarto trimestre de 2023, el pago medio por rescate ascend�a a 568.705 d�lares por v�ctima.

Y lo que es m�s, pagar un rescate no equivale a una protecci�n futura. No hay garant�a de que los datos y sistemas de una v�ctima se recuperen de forma segura y de que los atacantes no vendan los datos robados en foros clandestinos o vuelvan a atacarles.

Los datos compartidos por la empresa de ciberseguridad Cybereason muestran que "un asombroso 78% [de las organizaciones] fueron atacadas de nuevo despu�s de pagar el rescate, el 82% de ellas en el plazo de un a�o", en algunos casos por el mismo actor de la amenaza. De estas v�ctimas, al 63% "se les pidi� que pagaran m�s la segunda vez".

Fuente: thehackernews.com