El ransomware Phobos está vinculado a varias variantes, como Elking, Eight, Devos, Backmydata y Faust, debido a similitudes en las tácticas, técnicas y procedimientos (TTP) observados en las intrusiones de Phobos. Phobos utiliza herramientas de código abierto como Smokeloader, Cobalt Strike y Bloodhound, lo que lo convierte en una opción popular para muchos actores de amenazas.
Estructurado como un modelo de ransomware como servicio (RaaS), los actores del ransomware Phobos han dirigido sus ataques contra entidades como gobiernos municipales y locales, servicios de emergencia, educación, atención médica pública e infraestructuras críticas, logrando cobrar con éxito varios millones de dólares estadounidenses en rescates.
Los actores de Phobos obtienen acceso a redes vulnerables a través de campañas de phishing o mediante el escaneo de protocolo de Internet (IP) en busca de puertos vulnerables de Protocolo de escritorio remoto (RDP). Una vez dentro utilizan herramientas de fuerza bruta para obtener acceso o envían correos electrónicos con archivos adjuntos maliciosos.
Estando dentro de la red Phobos utiliza ejecutables como 1saas.exe o cmd.exe para ejecutar cargas útiles adicionales con privilegios elevados. También despliega Smokeloader en tres fases para implementar malware adicional. Phobos evade las defensas de red modificando las configuraciones del firewall y utilizando herramientas como Universal Virus Sniffer y Process Hacker.
Para mantener la persistencia Phobos utiliza comandos como Exec.exe o bcdedit.exe, así como carpetas de inicio de Windows y claves de registro. También busca y elimina instantáneas de volúmenes y cifra todas las unidades lógicas conectadas en el host de destino.
Los actores de Phobos roban credenciales utilizando herramientas como Bloodhound y Sharphound, así como Mimikatz y NirSoft. Utilizan herramientas como WinSCP y Mega.io para la exfiltración de archivos, principalmente dirigidos a documentos legales, registros financieros y bases de datos.
Finalmente, Phobos busca refuerzos a través de correos electrónicos y ha utilizado sitios cebolla para alojar datos de víctimas. Se comunica con sus víctimas a través de aplicaciones de mensajería instantánea como ICQ, Jabber y QQ.
Medidas de Mitigación
Las siguientes recomendaciones de seguridad se dirigen a todas las organizaciones de infraestructura crítica y a los defensores de redes.
1. Protección del Software de Acceso Remoto:
• Implementar controles de aplicaciones para gestionar y controlar la ejecución del software, incluida la lista de programas permitidos de acceso remoto.
• Establecer una solución de lista permitida de aplicaciones correctamente configurada para bloquear la ejecución de cualquier aplicación no incluida en la lista.
• Aplicar las mejores prácticas de recopilación de registros y utilizar sistemas de detección de intrusiones para defenderse contra los actores de amenazas que manipulan las configuraciones del firewall mediante la detección temprana.
• Implementar soluciones EDR para alterar las técnicas de asignación de memoria de los actores de amenazas.
2. Limitar el Uso de RDP y otros servicios de Escritorio Remoto:
• Realizar auditorías de la red para identificar sistemas que utilicen RDP.
• Cerrar los puertos RDP no utilizados.
• Aplicar bloqueos de cuentas después de un número específico de intentos.
• Implementar autenticación multifactor resistente al phishing para RDP.
• Registrar los intentos de inicio de sesión de RDP.
• Deshabilitar actividades y permisos de línea de comandos y secuencias de comandos.
3. Reducción del Riesgo de Compromiso de Credenciales:
• Colocar cuentas de administrador de dominio en el grupo de usuarios protegidos para evitar el almacenamiento en caché de hashes de contraseñas localmente.
• Evitar almacenar credenciales en texto sin formato en scripts.
• Implementar acceso basado en tiempo para cuentas de administrador y superior.
• Implementar múltiples bloqueos de cuentas en intentos fallidos de inicio de sesión.
• Requerir credenciales de administrador para instalar software.
4. Otras Recomendaciones de Mitigación:
• Utilizar autenticación multifactor resistente al phishing para todos los servicios siempre que sea posible.
• Segmentar redes para prevenir la propagación de ransomware.
• Identificar, detectar e investigar actividades anormales y posibles ataques de ransomware.
• Instalar, actualizar periódicamente y habilitar la detección en tiempo real del software antivirus en todos los hosts.
• Deshabilitar puertos y protocolos no utilizados.
• Considerar agregar un banner de correo electrónico a los correos electrónicos recibidos fuera de la organización.
• Deshabilitar los hipervínculos en los correos electrónicos recibidos.
• Asegurarse de que todos los datos de respaldo estén cifrados e inmutables, y cubran toda la infraestructura de datos de la organización.
En MBtech, proporcionamos soluciones de seguridad diseñadas para satisfacer las necesidades individuales de cada empresa. No solo reconocemos la importancia de protegerse contra las amenazas cibernéticas, sino que también nos comprometemos a desarrollar e implementar estrategias personalizadas que se ajusten a las necesidades específicas y se mantengan al día con los cambios constantes en el panorama de la ciberseguridad.
Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a
