סוכנויות אבטחת סייבר ומודיעין אמריקאיות מזהירות מפני מתקפות כופרת Phobos המכוונות לרשויות ממשלתיות ותשתיות קריטיות. הסוכניות מתארות את הטקטיקות והטכניקות השונות אותן אימצו פושעי הסייבר למטרת פריסת הנוזקה להצפנת קבצים: "כמודל של כופרה כשירות (RaaS), תוקפים פושעי כופרת Phobos מינהלות עירוניות ומחוזיות, שירותי חירום, חינוך, שירותי בריאות ציבוריים ותשתיות קריטיות – כדי לפדות דמי כופר משמעותיים". אזהרה זו מגיעה מהסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), הבולשת הפדרלית (FBI) והמרכז לשיתוף וניתוח מידע רב-מדיני (MS-ISAC).
כופרת Phobos פעילה מאז מאי 2019 ועד כה זוהו גרסאות מרובות של כופרה זו: Eking, Eight, Elbie, Devos, Faust ו- Backmydata. בסוף השנה שעברה חשפה חברת Cisco Talos שפושעי הסייבר העומדים מאחורי כופרת 8Base ממנפים גרסה של כופרת Phobos כדי לבצע את מתקפות הסייבר שלהם. קיימות ראיות המצביעות על כך ש- Phobos מנוהלת קרוב לוודאי על ידי רשות מרכזית, השולטת במפתח הפענוח הפרטי של הכופרה. שרשראות התקפה המערבות את זן הכופרה, מינפו בדרך כלל דיוג בתור וקטור גישה ראשוני להורדת מיטענים חמקניים כמו SmokeLoader. לחלופין, רשתות פגיעות נפרצו על ידי ניצול שירותי RDP חשופים ושימוש בהם למתקפות Brute Force. פריצה דיגיטלית מוצלחת גוררת אחריה התקנת כלי גישה נוספים מרחוק, ניצול טכניקות הזרקת תהליכים כדי לבצע קוד זדוני ולהתחמק מזיהוי וכן, ביצוע שינויים ברישום Windows כדי לשמור על נוכחות בסביבות שנפרצו. כמו כן: "נצפו מפעילי Phobos משתמשים בפונקציות מובנות של Windows API כדי לגנוב אסימונים, לעקוף בקרות גישה וליצור תהליכים חדשים להסלמה של הרשאות על ידי מינוף תהליך SeDebugPrivilege", ציינו הסוכנויות.
כופרה ממשיכה להוות מקור הכנסה משמעותי עבור האקרים בעלי מוטיבציה כלכלית, כאשר לפי Arctic Wolf, דרישות כופר ראשוניות הגיעו לחציון של $600,000 בשנת 2023, זינוק של 20% מהשנה הקודמת. נכון לרבעון הרביעי של 2023, תשלום הכופר הממוצע עומד על 568,705 דולר לקורבן. יתרה מכך, תשלום דרישת כופר אינו מסתכם בהגנה עתידית: אין ערובה שהנתונים והמערכות המחשוב של הקורבן ישוחזרו בבטחה ושפושעי הסייבר לא ימכרו את המידע שגנבו בפורומים מחתרתיים, או יתקפו שוב. נתונים שפורסמו על ידי חברת אבטחת הסייבר Cybereason מראים כי 78% מהארגונים הותקפו שוב לאחר תשלום הכופר – 82% מהם תוך שנה – בחלק מהמקרים על ידי אותם פושעי סייבר. מבין הקורבנות הללו, 63% נדרשו לשלם יותר בפעם השנייה.
