Infraestructura crítica de EE. UU. atacada agresivamente por Phobos Ransomware
Las autoridades estadounidenses están haciendo sonar la alarma sobre el ataque cada vez más agresivo a infraestructuras críticas por parte del ransomware Phobos , un software malicioso diseñado para cifrar archivos y extorsionar a las víctimas. Esta advertencia, emitida por agencias clave de ciberseguridad e inteligencia, incluida la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), el FBI y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), destaca la grave amenaza que representa esta forma de cibercrimen.
Phobos, que opera bajo un modelo de ransomware como servicio (RaaS), ha estado implicado en ataques a diversas entidades, como gobiernos municipales y de condado, servicios de emergencia, instituciones educativas, instalaciones de salud pública e infraestructura crítica. Los perpetradores han logrado extraer millones de dólares en pagos de rescate de sus víctimas.
La campaña de ransomware Phobos, activa desde mayo de 2019, ha generado múltiples variantes, incluidas Eking, Eight, Elbie, Devos, Faust y Backmydata. Estas variantes se han empleado en ataques con motivación financiera, como reveló Cisco Talos a finales del año pasado.
La evidencia sugiere que las operaciones del ransomware Phobos se administran de manera centralizada, con una autoridad de control que posee la clave de descifrado, lo que agrega una capa de complejidad a los esfuerzos de recuperación de las organizaciones afectadas.
El modus operandi de los ataques Phobos normalmente implica el acceso inicial a través de correos electrónicos de phishing o la explotación de vulnerabilidades en los servicios del Protocolo de escritorio remoto (RDP). Una vez dentro de una red, los actores de amenazas implementan herramientas y técnicas adicionales para mantener la persistencia, evadir la detección y escalar privilegios. Se ha observado que utilizan funciones integradas de Windows para robar credenciales, eludir controles de seguridad y escalar privilegios.
Además, el grupo detrás del ransomware Phobos es experto en utilizar herramientas de código abierto como Bloodhound y Sharphound para recopilar información sobre las estructuras del directorio activo, facilitando sus movimientos dentro de las redes comprometidas. También emplean métodos de exfiltración de archivos y eliminan instantáneas de volumen para dificultar los esfuerzos de recuperación.
La gravedad de los ataques de ransomware queda subrayada por incidentes recientes como el asalto coordinado descrito por Bitdefender, donde varias empresas fueron atacadas simultáneamente por un grupo conocido como CACTUS. Este ataque, caracterizado por su naturaleza sincronizada y multifacética, aprovechó las vulnerabilidades en la infraestructura de virtualización, lo que indica un alcance cada vez mayor de objetivos para los actores de ransomware.
A pesar de los incentivos financieros para los actores de amenazas, el pago de rescates no garantiza la recuperación segura de los datos ni la inmunidad ante futuros ataques. Los datos de Cybereason revelan una tendencia preocupante en la que una mayoría significativa de las organizaciones atacadas una vez terminan siendo atacadas nuevamente, a menudo por el mismo adversario, y en ocasiones se ven obligadas a pagar sumas aún mayores.
A medida que los ataques de ransomware continúan evolucionando en sofisticación e impacto, reforzar las medidas de ciberseguridad y adoptar estrategias de defensa proactivas se vuelve primordial tanto para las organizaciones como para los gobiernos.