自2019年开始Phobos勒索软件活跃至今，攻击美国关键基础设施

美国网络安全和情报机构警告称，Phobos勒索软件攻击的目标是政府和关键基础设施实体，

政府表示：“作为一种勒索软件即服务（RaaS）模式，火卫一勒索软件行为者瞄准了包括市和县政府、应急服务、教育、公共医疗和关键基础设施在内的实体，成功勒索了数百万美元。”

该咨询来自美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）和多州信息共享与分析中心（MS-ISAC）。Phobos勒索软件自2019年5月起活跃，迄今已发现多种变体，即Eking、Eight、Elbie、Devos、Faust和Backmydata。去年年底，Cisco Talos透露，8Base勒索软件背后的威胁行为者正在利用Phobos勒索软件变体进行经济动机的攻击。

有证据表明，火卫一很可能由一个中央机构密切管理，该机构控制着勒索软件的私人解密密钥。

涉及勒索软件毒株的攻击链通常利用网络钓鱼作为初始访问载体，投放SmokeLoader等隐形有效载荷。或者，通过寻找暴露的RDP服务并通过暴力攻击来利用这些服务，从而破坏易受攻击的网络。

成功的数字入侵之后，威胁行为者会放弃额外的远程访问工具，利用进程注入技术执行恶意代码并逃避检测，并对Windows注册表进行修改，以在受损环境中保持持久性。

该机构表示：“此外，还观察到Phobos参与者使用内置的Windows API功能窃取代币，绕过访问控制，并通过利用SeDebugPrivilege流程创建新流程来提升权限。火卫一参与者试图在受害者机器上使用缓存的密码哈希进行身份验证，直到他们达到域管理员访问权限。”

众所周知，该电子犯罪组织还使用Bloodhound和Sharphound等开源工具来枚举活动目录。文件外过滤是通过WinSCP和Mega.io完成的，之后会删除卷影副本，以使恢复更加困难。

Bitdefender详细描述了一次精心协调的勒索软件攻击，该攻击同时影响两家独立的公司。这次攻击被描述为同步和多方面的，被归咎于一个名为CACTUS的勒索软件行为者。

Bitdefender技术解决方案总监Martin Zugec在上周发布的一份报告中表示：“CACTUS继续渗透到一个组织的网络中，在不同的服务器上植入各种类型的远程访问工具和隧道。当他们发现有机会转移到另一家公司时，他们暂时暂停了业务，以渗透到另一个网络。两家公司都是同一集团的一部分，但独立运营，维护独立的网络和域，没有任何建立的信任关系。”

此次攻击还因针对这家未命名公司的虚拟化基础设施而引人注目，这表明CACTUS参与者已将重点扩展到Windows主机之外，以打击Hyper-V和VMware ESXi主机。

在2023年8月首次披露后不到24小时，它还利用了互联网曝光的Ivanti Sentry服务器中的一个关键安全漏洞（CVE-2023-38035，CVSS得分：9.8），再次突显了新发布漏洞的机会主义和快速武器化。

勒索软件仍然是出于经济动机的威胁行为者的主要摇钱树，根据北极狼的数据，2023年，勒索软件的初始需求中值达到60万美元，比前一年增长了20%。截至2023年第四季度，每位受害者的平均赎金为568705美元。

更重要的是，支付赎金并不等于未来的保护。无法保证受害者的数据和系统会被安全恢复，攻击者不会在地下论坛上出售被盗数据或再次攻击它们。

网络安全公司Cybereason共享的数据显示，“令人震惊的是，78%的组织在支付赎金后再次遭到攻击，其中82%在一年内”，在某些情况下是由同一威胁行为者发起的。在这些受害者中，63%的人“第二次被要求支付更多费用”