Цена молчания: троян Phobos диктует условия госаппарату США

Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало консультативное предупреждение об известных методах кибератак и индикаторах взлома группировки Phobos. Это поможет государственным организациям лучше защититься от вымогательского ПО.

В предупреждении говорится, что с 2019 года Phobos, действующая по модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS), нападала на информационные системы муниципальных и окружных властей, экстренных служб, учебных заведений, медучреждений и других критически важных объектов. Модель RaaS позволяет людям с минимальными знаниями и опытом запускать атаки, используя готовые инструменты.

«Phobos — довольно стандартный вымогатель. Мы регулярно видим их атаки на государственный сектор, что и заставляет нас так пристально за ними следить», — рассказал Рэнди Роуз, вице-президент Центра интернет-безопасности. Эта некоммерческая организация управляет Межштатным центром обмена информацией и анализа (MS-ISAC), финансируемым федеральными властями.

В предупреждении CISA отмечается: «MS-ISAC регулярно получает оповещения об инцидентах с вымогателем Phobos, затрагивающих органы власти штатов, муниципалитетов, общин и территорий». При этом точное количество атак неизвестно.

В 2023 году эксперты приписали Phobos 67 инцидентов только за май. Большинство жертв находились в США и Бразилии.

Хотя CISA и другие федеральные агентства против выплаты выкупа, так как это не гарантирует восстановления данных и сервисов, Phobos удалось выманить у жертв несколько миллионов долларов с помощью вымогательских уловок. По данным отчета Минздрава США за 2021 год, средний размер выкупа составляет около $38 100.

Вымогатель Phobos использует два основных способа проникновения в системы. Первый — фишинг, кража учетных данных путем обмана пользователей.

Второй — прямой удаленный доступ через протокол RDP (Remote Desktop Protocol) Microsoft для дистанционного управления ПК.

Роуз отмечает, что фишинговые кампании — самый распространенный и эффективный метод кибератак, не из-за простоты реализации, а из-за человеческого фактора. «Фишинг — социальная инженерия, играющая на слабостях людей. Мы любопытны, нас легко обмануть. Вот почему иллюзионисты до сих пор ловко дурачат публику», — говорит он.

По его словам, фишинговые письма становятся все более правдоподобными благодаря генеративному ИИ. «ИИ может создать очень убедительное фишинговое письмо. Вряд хакеры откажутся от фишинга — он слишком эффективен. А теперь появились инструменты, делающие этот метод еще опаснее».

Вместе с тем Роуз считает, что генеративный ИИ может быть полезен и для защиты: «ИИ сможет заметить признаки угроз, недоступные человеку, и предотвращать атаки».

После проникновения в систему Phobos внедряет свой код в важные системные компоненты, такие как папка автозагрузки Windows, создает новые ключи реестра. Затем он находит и шифрует локальные файлы пользователей, общие сетевые диски и другие данные. После этого жертв принуждают заплатить выкуп за расшифровку.

Поскольку дешифровщиков Phobos не существует, кроме тех, что контролируются самими создателями вымогателя, CISA рекомендует организациям принять стандартные меры кибербезопасности. В том числе обезопасить протокол удаленного доступа RDP, использовать надежные сложные пароли, блокировать учетные записи после нескольких неудачных попыток входа, применять многофакторную аутентификацию, пользоваться VPN и регулярно обновлять ПО.