Phobos este o familie cunoscută de malware-uri specializată în criptarea fișierelor de pe computerele victimelor. De la apariția sa în 2019, acest ransomware a fost implicat în mai multe atacuri cibernetice. Modul său obișnuit de acțiune implică adăugarea unui fișier criptat cu o extensie unică pe computerul victimei și cererea unei răscumpărări în criptomonede pentru decriptare.
Evoluția complexă a ransomware-ului Phobos: o analiză a legăturilor sale cu Crysis și Dharma
Experții în securitate cibernetică au identificat pentru prima dată ransomware-ul Phobos în decembrie 2018. În timp ce multe sisteme de malware rămân anonime și sunt denumite de cercetătorii în securitate, Phobos și-a dezvăluit numele în nota sa de răscumpărare. Pentru a înțelege originile reale ale lui Phobos, trebuie să ne întoarcem mai departe - până în februarie 2016. Acesta este momentul când Crysis și-a făcut prima apariție. Phobos este o variantă a ransomware-ului Crysis.
Sistemul Crysis se abate ușor de la norma tipică a ransomware-ului, deoarece criptează și fișierele de sistem. Aceasta impactează funcționarea computerului, astfel încât victima să nu poată plăti răscumpărarea de pe computerul infectat. Într-un mod neobișnuit, echipa din spatele Crysis eliberează periodic cheile de decriptare folosite, oferind astfel posibilitatea victimelor să-și recupereze gratuit fișierele criptate.
Echipa din spatele Crysis a dezvoltat un alt sistem de ransomware numit Dharma. Acesta folosește atacul Crysis, dar cu un alt sistem de livrare – Remote Desktop Protocol (RDP). O altă diferență între Crysis și Dharma este că Dharma este o platformă Ransomware-as-a-Service (RaaS). Ea furnizează un set de instrumente pentru alți hackeri care doresc să folosească un malware de tip ransomware. Un atac tipic Dharma implică un proces personalizat, în care hackerii accesează sistemele de operare și instalează ransomware-ul prin conexiuni interne.
Phobos este o versiune internă a platformei Dharma RaaS, care poate fi considerată și o variantă a Crysis cu utilizarea RDP pentru livrare, în loc de e-mailuri spam. Nota de răscumpărare Phobos este identică cu cea a lui Dharma, cu excepția faptului că numele Phobos înlocuiește Dharma. Multe programe antivirus care detectează Phobos o pot confunda greșit cu Dharma din cauza asemănării codului din spatele celor două malware-uri. Altele îl pot identifica ca fiind Crysis.
Ransomware-ul Phobos: o nouă metodă de răspândire prin documente Office
Potrivit unei analize recente realizate de Fortinet, ransomware-ul Phobos nu se mai răspândește doar prin intermediul conexiunilor RDP, ci și folosind un simplu document Office. Acest document conține un program script VBA. Atunci când un utilizator deschide documentul, PowerShell este lansat de către script.
Apoi, datele sunt descărcate de pe un site numit Gitea și sunt criptate într-un mod special numit Base64, însă acest lucru poate fi reversat pentru a obține un fișier XLSX normal și sigur. După descărcare, acest fișier este deschis automat și salvat într-un folder temporar, dându-le utilizatorilor falsa impresie că totul s-a terminat și că este sigur să îl folosească. Între timp, atacatorul introduce un cod rău intenționat în memoria computerului și îl execută.
Ransomware-ul FAUST, o variantă a Phobos-ului, adaugă extensia ".faust" la fiecare fișier pe care îl criptează și lasă în fiecare director un fișier numit info.txt sau info.hta. Acesta este un mod prin care atacatorii încearcă să intre în contact cu victimele lor pentru a negocia răscumpărarea.
De asemenea, FAUST inițiază mai multe fire de execuție pentru a efectua diverse sarcini în acelați timp. Aceste sarcini includ implementarea criptării, scanarea unităților logice, căutarea resurselor de rețea sau scanarea fișierelor.
Acest raport a investigat varianta FAUST a ransomware-ului Phobos, oferind perspective asupra procesului de descărcare a fișierului de încărcare dintr-un document MS Excel încorporat cu script VBA. Noua versiune a ransomware-ului FAUST demonstrează capacitatea de a menține persistența într-un mediu și creează mai multe fire de execuție pentru o funcționare eficientă.
Înțelegerea originilor și evoluției ransomware-ului Phobos, precum și a legăturilor sale cu alte familii de malware, cum ar fi Crysis și Dharma, este importantă pentru dezvoltarea și implementarea unor strategii eficiente de protecție și remediere.
În mod obișnuit, cea mai eficientă metodă de apărare împotriva ransomware-ului constă în educarea utilizatorilor în ceea ce privește riscurile asociate cu descărcarea atașamentelor sau accesarea linkurilor din e-mailuri provenite de la surse necunoscute. Prin conștientizarea acestor practici precaute, utilizatorii pot contribui la prevenirea infectărilor și la protejarea datelor lor sensibile.
În plus, este recomandată actualizarea promptă a pachetului Office ori de câte ori sunt disponibile noi actualizări. Prin instalarea acestor update-uri, utilizatorii pot beneficia de ultimele patch-uri de securitate, reducând astfel vulnerabilitățile și creșterea nivelului de reziliență împotriva atacurilor ransomware și a altor amenințări cibernetice.