Ricardo Nardini : 19 Marzo 2024 06:48
Nelle ultime settimane di febbraio di quest’anno le agenzie governative statunitensi hanno avvertito pubblicamente di attacchi “ransomware Phobos” in corso. Attacchi compiuti contro il governo degli Stati Uniti, l’istruzione, i servizi di emergenza, la sanità e altri settori infrastrutturali critici.
Secondo affermano MS-ISAC, FBI e CISA in un avviso congiunto questo software malevolo è attivo da maggio 2019. Phobos è un ransomware che opera secondo il modello di business ransomware-as-a-service (RaaS). Questo modello ha estorto diversi milioni di dollari a varie organizzazioni sia statali che private.
Si stima che l’attacco potrebbe estendesi verso tutto l’occidente, inclusa l’Italia. In special modo su aziende multinazionali, focalizzando il target su quelle che utilizzano la lingua inglese come loro “comunication language”.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Basato su “tattiche, tecniche e procedure” (Tactics, Techniques, and Procedures – TTP) simili, Phobos è collegato a varianti di ransomware come Backmydata, Devos, Eight, Elking e Faust ed è stato implementato insieme a strumenti popolari tra i criminali informatici, tra cui Bloodhound, Cobalt Strike, e SmokeLoader.
La famiglia di ransomware Phobos appartiene ad un gruppo di software dannoso progettato per crittografare i file sui computer vittima. Dal 2019 è stato coinvolto in numerosi attacchi informatici.
Questo ransomware in generale utilizza la strategia classica di aggiungere file crittografati con un’estensione univoca e richiede un riscatto in criptovaluta per la chiave di decrittazione. Alcune aziende di difesa di Cybersecurity hanno catturato e segnalato diverse varianti di ransomware della famiglia Phobos, tra cui EKING e 8Base.
Gli attacchi Phobos iniziano con e-mail di phishing che rilasciano strumenti di scansione IP volti a identificare le porte RDP (Remote Desktop Protocol) vulnerabili. Successivamente vengono sottoposte a forza bruta per l’accesso e la profilazione aziendale.
“Gli autori delle minacce che sfruttano Phobos hanno in particolare implementato strumenti di accesso remoto per stabilire una connessione remota all’interno della rete compromessa”, si legge nell’avviso congiunto degli enti statali statunitensi.
Gli aggressori utilizzano allegati e-mail contraffatti per fornire payload dannosi come la backdoor SmokeLoader, che viene poi utilizzata per distribuire Phobos ed esfiltrare dati dalla rete della vittima.
È stato inoltre osservato che i criminali informatici attivavano eseguibili legittimi per distribuire payload aggiuntivi con privilegi elevati. Essi modificavano le configurazioni dei firewall di sistema per aggirare le difese della rete e utilizzavano cartelle di avvio di Windows eseguendo chiavi di registro per mantenere la persistenza.
La ricognizione, la raccolta delle credenziali e il rilevamento sono stati eseguiti utilizzando strumenti open source, tra cui Bloodhound, Sharphound, Mimikatz, NirSoft e Remote Desktop Passview.
A sua volta strumenti legittimi come WinSCP e Mega.io sono stati utilizzati per l’esfiltrazione dei dati su server FTP o archiviazione nel Cloud.
Le agenzie governative statunitensi hanno notato inoltre che Phobos ha identificato ed eliminando i backup dei dati per impedirne il ripristino. A sua volta crittografano tutte le unità logiche connesse sulla macchina di destinazione. L’obiettivo è quello di impedire un ripristino dei dati attaccati.
Sebbene l’estorsione avvenga generalmente tramite e-mail, alcuni affiliati di Phobos utilizzano le chiamate vocali con voce contraffatta attraverso intelligenza artificiale per contattare le loro vittime.
Per la comunicazione talvolta sono state utilizzate anche applicazioni di messaggistica istantanea utilizzando il metodo di messaggi vocali contraffatti tramite intelligenza artificiale.
Le organizzazioni compromesse sono state elencate su siti basati su Tor che ospitano anche dati presumibilmente rubati.
L’avviso congiunto contiene anche indicatori di compromissione (IoC) che le organizzazioni possono utilizzare per individuare potenziali compromessi del ransomware Phobos, nonché misure di mitigazione consigliate.
“L’FBI, la CISA e l’MS-ISAC incoraggiano le organizzazioni a implementare le raccomandazioni nella sezione sulle mitigazioni per ridurre la probabilità e l’impatto del ransomware Phobos e di altri incidenti ransomware”, si legge nell’avviso.
Ricardo NardiniSolamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
Il team di ricerca di Trustwave SpiderLabs ha identificato una nuova ondata di attacchi EncryptHub che combinano l’errore umano e lo sfruttamento di una vulnerabilità nella Microsoft Manag...
Gli aggressori hanno iniziato a utilizzare un trucco insolito per mascherare i link di phishing, facendoli apparire come indirizzi di Booking.com. La nuova campagna malware utilizza il carattere hirag...
Una falla di sicurezza critica è stata resa pubblica da Cisco nel suo software Secure Firewall Management Center (FMC), permettendo potenzialmente a malintenzionati non autenticati di eseguire, a...
