نفوذ باج‌ افزار Phobos به زیرساخت‌ های حیاتی ایالات متحده

آژانس امنیت سایبری و اطلاعاتی ایالات متحده آمریکا، بیست و نهم فوریه ۲۰۲۴ در خصوص حملات باج ‌افزار Phobos (فوبوس) که نهادهای دولتی و زیرساخت‌های حیاتی را مورد هدف داده بود، هشدار صادر کرد. آژانس همچنین تاکتیک‌ها و تکنیک‌‌های مختلفی را که عوامل تهدید به منظور استقرار بدافزار جهت رمزگذاری فایل‌های قربانیان اتخاذ کرده بودند را تشریح کرد.

باج ‌افزار Phobos که به ‌عنوان مدل باج ‌افزار به ‌عنوان یک سرویس (RaaS) ساخته شده است، نهادهایی از جمله دولت‌ها، خدمات ضروری، آموزش، مراکز پزشکی و زیرساخت‌های حیاتی را مورد هدف قرار داده است و تاکنون موفق به اخذ چندین میلیون دلار باج شده است.

این اعلانیه از سوی آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده آمریکا (CISA)، دفتر تحقیقات فدرال (FBI) و مرکز تجزیه و تحلیل اطلاعات چند ایالتی (MS-ISAC) ارائه شده است.

باج افزار Phobos از ماه می 2019 فعال می‌باشد و انواع مختلفی از آن تا به امروز شناسایی شده است، از جمله Eking، Eight، Elbie، Devos، Faust و Backmydata. سیسکو تالوس اواخر سال گذشته، افشا کرد که عوامل تهدید پشت باج ‌افزار 8Base از یک نوع باج افزار Phobos برای انجام حملات با انگیزه مالی سوء استفاده می‌‌کنند.

شواهدی وجود دارد که نشان می‌دهد Phobos احتمالاً توسط یک هسته مرکزی که کلید رمزگشایی خصوصی باج افزار را کنترل می‌کند، مدیریت می‌شود.

زنجیره‌های حمله باج ‌افزار معمولاً از فیشینگ به عنوان یک بُردار دسترسی اولیه برای استقرار پیلودهای مخفی مانند SmokeLoader استفاده می‌کنند. از سوی دیگر، حمله به شبکه‌‌های آسیب‌ پذیر با جستجوی پورت RDP باز و سوء استفاده از آنها توسط یک حمله بروت فورس، صورت می‌پذیرد.

یک حمله موفق با استقرار ابزارهای دسترسی از راه دور توسط عوامل تهدید، استفاده از تکنیک‌های تزریق فرآیند برای اجرای کدهای مخرب و دور زدن مکانیزم شناسایی و ایجاد تغییرات در رجیستری ویندوز برای حفظ تداوم دسترسی در سیستم های تحت نفوذ، شکل می‌گیرد.

عوامل تهدید Phobos با استفاده از توابع داخلی Windows API برای ربودن توکن‌‌ها، دور زدن کنترل‌ های دسترسی و ایجاد فرآیندهای جدید به منظور افزایش سطح دسترسی با استفاده از فرآیند SeDebugPrivilege مشاهده شده‌اند. عوامل باج افزار Phobos سعی دارند تا با استفاده از هش رمز عبور موجود در حافظه ماشین‌های قربانی احراز هویت شوند تا به دسترسی admin  دامنه مورد نفوذ دست یابند.

گروه جرایم الکترونیکی همچنین به استفاده از ابزارهای منبع باز مانند Bloodhound و Sharphound برای ربودن فایل‌های اکتیو دایرکتوری معروف است. استخراج فایل از طریق WinSCP و Mega.io انجام می شود، پس از آن نسخه های shadow حذف می شوند تا بازیابی سخت تر گردد.

این افشاگری زمانی صورت پذیرفت که شرکت بیت دیفندر (Bitdefender) یک حمله باج ‌افزار هماهنگ شده دقیق که همزمان دو شرکت جداگانه را تحت تأثیر قرار داده بودند را تشریح کرد. این حمله که به عنوان یک حمله همزمان و چند وجهی توصیف می‌شود، به یک عامل باج افزار به نام CACTUS (کاکتوس) نسبت داده شده است.

Martin Zugec، مدیر نرم افزارهای فنی بیت دیفندر در گزارشی که بیست و هشتم فوریه ۲۰۲۴ به اشتراک گذاشت، اذعان داشت که CACTUS به نفوذ در شبکه یک سازمان ادامه داده و انواع مختلفی از ابزارها و تونل های دسترسی از راه دور را در سرورهای مختلف مستقر کرده است.

زمانی که آنها فرصتی را برای نقل مکان به یک شرکت دیگر شناسایی کردند به منظور نفوذ به شبکه دیگر عملیات خود را برای لحظه‌ای متوقف ساختند. هر دو شرکت بخشی از یک گروه می‌باشند، اما به طور مستقل عمل می‌‌کنند و شبکه‌‌ها و دامنه‌‌های جداگانه‌ای را بدون وجود هیچ گونه رابطه‌ای ایجاد می‌نمایند.

این حمله همچنین به دلیل نفوذ به زیرساخت‌های مجازی سازی قابل توجه است، که نشان می‌دهد عوامل باج افزار CACTUS تمرکز خود را فراتر از میزبان‌های ویندوز برای حمله به هاست‌های Hyper-V و VMware ESXi گسترش داده‌اند.

باج ‌افزارها به گفته Arctic Wolf، همچنان به عنوان یک منبع درآمد اصلی برای عوامل تهدید با انگیزه مالی هستند و تقاضاهای اولیه باج ‌افزار در سال 2023 به میانگین 600 هزار دلار رسید که جهشی 20 درصدی نسبت به سال قبل داشته است. متوسط پرداخت باج در سه ماهه چهارم سال 2023 برای هر قربانی، ۵۶۸,۷۰۵ دلار است.

علاوه بر این، پرداخت باج به منزله بازگشت فایل‌های قربانیان نیست. هیچ تضمینی وجود ندارد که داده‌ ها و سیستم های قربانی به طور ایمن بازیابی شوند و مهاجمان اطلاعات ربوده شده را در انجمن های زیرزمینی نفروخته و یا مجددا به آنها حمله نکنند.

داده‌ های به اشتراک گذاشته شده توسط شرکت امنیت سایبری Cybereason حاکی از آن است که ۷۸ درصد سازمان‌‌ها پس از پرداخت باج، دوباره مورد حمله قرار گرفته‌اند و ۸۲ درصد از آنها در یک سال به صورت مجدد مورد حمله واقع شده‌اند. در برخی موارد حمله مجدد توسط همان عامل تهدید صورت گرفته است که از میان این قربانیان، 63 درصد در مرتبه دوم باج خواهی مبلغ بیشتری را پرداخت کرده‌اند.

منابع