米国の重要インフラがフォボス ランサムウェアの攻撃的な標的に

米国当局は、ファイルを暗号化し、被害者から金銭を脅し取るように設計された悪意のあるソフトウェアであるPhobos ランサムウェアによる重要インフラの攻撃がますます攻撃的になっていることに警鐘を鳴らしています。この警告は、米国サイバーセキュリティ・インフラセキュリティ庁 (CISA)、FBI、複数国家情報共有分析センター (MS-ISAC) などの主要なサイバーセキュリティおよび諜報機関によって発せられ、この形態のサイバーセキュリティがもたらす重大な脅威を強調しています。サイバー犯罪。

Phobos ランサムウェアは、RaaS (ransomware-as-a-service) モデルで動作し、地方自治体、郡政府、緊急サービス、教育機関、公共医療施設、重要インフラなどのさまざまな組織に対する攻撃に関与しています。加害者は被害者から数百万ドルの身代金を引き出すことに成功しました。

Phobos ランサムウェア キャンペーンは、2019 年 5 月から活動を開始しており、Eking、Eight、Elbie、Devos、Faust、Backmydata などの複数の亜種を生み出しています。昨年末に Cisco Talos によって明らかになったように、これらの亜種は金銭目的の攻撃に使用されています。

Phobos ランサムウェアの運用は、復号キーを管理する管理機関によって集中管理されており、影響を受けた組織の復旧作業がさらに複雑になっていることが証拠によって示唆されています。

Phobos 攻撃の手口には通常、フィッシングメールを介した初期アクセスや、リモート デスクトップ プロトコル (RDP) サービスの脆弱性の悪用が含まれます。ネットワーク内に侵入すると、脅威アクターは追加のツールとテクニックを導入して、永続性を維持し、検出を回避し、権限を昇格させます。これらの攻撃者は、Windows の組み込み機能を利用して資格情報を盗み、セキュリティ制御をバイパスし、特権を昇格させていることが観察されています。

さらに、Phobos ランサムウェアの背後にいるグループは、Bloodhound や Sharphound などのオープンソース ツールを利用してアクティブ ディレクトリ構造に関する情報を収集し、侵害されたネットワーク内での移動を容易にします。また、ファイルの抽出方法も使用し、ボリュームのシャドウ コピーを削除して、回復作業を妨げます。

ランサムウェア攻撃の深刻さは、CACTUS として知られるグループによって複数の企業が同時に標的にされた、Bitdefender が説明した組織的な攻撃などの最近の事件によって強調されています。この攻撃は同期的かつ多面的な性質を特徴としており、仮想化インフラストラクチャの脆弱性を悪用したものであり、ランサムウェア攻撃者の標的の範囲が拡大していることを示しています。

脅威アクターには金銭的なインセンティブがあるにもかかわらず、身代金を支払ったとしても、データの安全な回復や将来の攻撃からの免責が保証されるわけではありません。 Cybereason のデータは、一度攻撃された組織の大多数が、多くの場合同じ敵によって再び標的にされ、場合によってはさらに高額の支払いを強要されるという厄介な傾向を明らかにしています。

ランサムウェア攻撃が巧妙化して影響力が増すにつれ、サイバーセキュリティ対策を強化し、プロアクティブな防御戦略を採用することが、組織や政府にとっても同様に最重要事項となっています。