El FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) han publicado detalles sobre las tácticas y técnicas que los actores de amenazas están utilizando para implementar la cepa de ransomware Phobos en las redes objetivo.
La asesor es parte de un esfuerzo continuo para detener el ransomware por parte de las dos entidades que trabajan en colaboración con el Centro de análisis e intercambio de información multiestatal (MS-ISAC). Es similar a varias alertas que han emitido en los últimos meses sobre amenazas de ransomware particularmente perniciosas.
Al igual que los avisos anteriores, el último incluye indicadores de compromiso que los administradores de TI y de seguridad pueden utilizar para detectar y responder rápidamente a posibles infecciones de Phobos.
Una amenaza relativamente prolífica
El ransomware Phobos apareció por primera vez en 2019. Desde entonces, sus autores han estado utilizando un modelo de ransomware como servicio para distribuir el malware, lo que ha ayudado a establecer a Phobos como una de las cepas de ransomware más ampliamente distribuidas en los últimos años. Una variante de Phobos denominada 8Base clasificada en la lista de Black Fog de Las 10 amenazas de ransomware más activas en 2023. Las víctimas de Fobos a lo largo de los años incluyen gobiernos estatales, de condado y municipales, así como organizaciones de los sectores de atención médica, educación e infraestructura crítica.
En un incidente reciente, un actor de amenazas afiliado a Phobos Sistemas infectados en unos 100 hospitales de Rumanía. con una variante de Phobos llamada Backmydata, apuntando primero a un sistema central de información de salud al que estaban conectados.
El aviso del FBI-CISA identificó que los actores de amenazas de Phobos utilizan diferentes tácticas para obtener acceso inicial a las redes de las víctimas. Una táctica común ha sido utilizar correos electrónicos de phishing para lanzar la carga útil en las redes de las víctimas de manera oportunista. Otra ha sido incorporar un cuentagotas conocido como SmokeLoader en los archivos adjuntos de correo electrónico y usarlo para descargar Phobos en los sistemas pertenecientes a las víctimas que abren el archivo adjunto.
Además, los investigadores también han observado a los actores de Phobos escaneando Internet en busca de puertos RDP expuestos en los que luego han utilizado herramientas de código abierto de fuerza bruta para adivinar contraseñas para obtener acceso. "Si los actores de Phobos obtienen una autenticación RDP exitosa en el entorno objetivo, realizan una investigación de código abierto para crear un perfil de víctima y conectar las direcciones IP objetivo a sus empresas asociadas", señala el aviso. "Los actores de amenazas que aprovechan Phobos han implementado en particular herramientas de acceso remoto para establecer una conexión remota dentro de la red comprometida".
Escalada de privilegios y persistencia
Una vez en una red, los actores de amenazas Phobos a menudo ejecutan ejecutables como 1saas.exe o cmd.exe para escalar privilegios y realizar varias funciones del shell de Windows, incluidas aquellas para tomar el control de los sistemas. Además, han aprovechado las funciones API integradas de Windows para evitar el control de acceso, robar tokens de autenticación y crear nuevos procesos para elevar los privilegios, según el aviso. "Los actores de Phobos intentan autenticarse utilizando hashes de contraseñas almacenados en caché en las máquinas víctimas hasta que alcanzan el acceso de administrador de dominio", señala el aviso.
Los mecanismos de persistencia del ransomware incluyen el uso de carpetas de inicio de Windows y el uso de claves de registro de Windows para eliminar o deshabilitar funciones que permiten el acceso a copias de seguridad o ayudan en la recuperación del sistema.
Antes de cifrar sistemas en una red, los actores de Phobos generalmente extraían datos de ella y luego utilizaban la amenaza de filtrar esos datos como una ventaja adicional para extraer el pago de las víctimas. En muchos casos, los actores de la amenaza se han dirigido a registros financieros, documentos legales, información técnica y relacionada con la red, y bases de datos para software de gestión de contraseñas, según el aviso. Después de la fase de robo de datos, los actores buscan y eliminan cualquier copia de seguridad de datos que las víctimas puedan tener para asegurarse de que no puedan recuperarlos sin pagar la clave de descifrado.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyberattacks-data-breaches/fbi-cisa-release-iocs-for-phobos-ransomware
- :posee
- :es
- 100
- 2019
- a
- de la máquina
- Conforme
- lector activo
- actor
- los actores
- adición
- Adicionales
- Adicionalmente
- direcciones
- administradores
- Ventaja
- asesor
- Después
- Ayudar
- Alertas
- también
- an
- análisis
- y
- e infraestructura
- Otra
- cualquier
- abejas
- somos
- AS
- asociado
- At
- intento
- autenticar
- Autenticación
- Autorzy
- copias de seguridad
- esto
- pertenencia
- Negro
- incorporado
- by
- evitar
- , que son
- PUEDEN
- cases
- Reubicación
- central
- CISA
- colaboración
- Algunos
- Empresas
- compromiso
- Comprometida
- Contacto
- conectado
- conexión
- control
- condado
- Para crear
- crítico
- Infraestructura crítica
- La Ciberseguridad
- Agencia de Seguridad Cibernética e Infraestructura
- datos
- bases de datos
- desencriptación
- borrar
- desplegar
- desplegado
- detalles
- una experiencia diferente
- distribuir
- distribuidos
- documentos
- dominio
- descargar
- Soltar
- doblado
- Educación
- esfuerzo
- ELEVATE
- correo
- incrustar
- habilitar
- garantizar
- entidades
- Entorno
- escalar
- escalada
- establecer
- Éter (ETH)
- expuesto
- FBI
- financiero
- Nombre
- niebla
- Desde
- funciones
- Obtén
- Gobiernos
- Tienen
- Salud
- información de salud
- la salud
- ayudado
- hospitales
- HTTPS
- Caza
- no haber aun identificado una solucion para el problema
- if
- in
- incidente
- incluir
- incluye
- Incluye
- indicadores
- Infecciones
- información
- EN LA MINA
- inicial
- Internet
- IP
- Direcciones IP
- Emitido
- IT
- SUS
- jpg
- Clave
- claves
- conocido
- más reciente
- fugas
- Legal
- Apalancamiento
- aprovechando
- Lista
- Máquinas
- el malware
- Management
- software de gestión
- manera
- muchos
- los mecanismos de
- podría
- modelo
- meses
- más,
- MEJOR DE TU
- multi-estado
- municipal
- del sistema,
- telecomunicaciones
- Nuevo
- notablemente
- señaló
- observado
- of
- a menudo
- on
- ONE
- en marcha
- habiertos
- de código abierto
- or
- para las fiestas.
- Más de
- parte
- particularmente
- Contraseña
- La gestión de contraseñas
- pago
- pago
- realizar
- persistencia
- fase
- suplantación de identidad
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- puertos
- posible
- anterior
- privilegio
- privilegios
- en costes
- Mi Perfil
- prolífico
- con rapidez
- clasificado
- ransomware
- en comunicarse
- reciente
- archivos
- Recuperar
- recuperación
- registro
- relativamente
- ,
- liberado
- sanaciones
- acceso remoto
- remove
- la investigación
- investigadores
- Responder
- Ejecutar
- s
- Said
- exploración
- Sectores
- EN LINEA
- Varios
- compartir
- Cáscara
- similares
- desde
- Software
- algo
- Fuente
- Patrocinado
- Spot
- inicio
- Estado
- Cepas
- exitosos
- tal
- te
- Todas las funciones a su disposición
- T
- táctica
- toma
- toma
- Target
- afectados
- orientación
- Técnico
- técnicas
- esa
- La
- su
- luego
- ellos
- aquellos
- amenaza
- actores de amenaza
- amenazas
- a
- Tokens
- dos
- típicamente
- hasta
- us
- utilizan el
- usado
- usando
- Variante
- diversos
- Víctima
- las víctimas
- WELL
- tuvieron
- que
- extensamente
- ventanas
- dentro de
- sin
- trabajando
- años
- zephyrnet
