باج افزار Phobos داده ها را رمزگذاری و درخواست باج می کند!
در این مقاله قصد داریم به شرح Phobos Ransomware بپردازیم. Phobos یک باج افزار از نوع Ransomware-as-a-Service (RaaS) است. آسیبپذیریهای مورد استفاده در Phobos Ransomware پورتهای مورد استفاده در پروتکل دسکتاپ از راه دور (RDP)، گذرواژههای ضعیف و حملات فیشینگ است.
باج افزار Phobos یک تهدید مهم برای امنیت سازمان می باشد و به شدت در حال افزایش است، به ویژه بخش های مهمی مانند بیمارستان ها، سایت های دولت و مراکز آموزشی را هدف قرار می دهد. از زمان ظهور باج افزار Phobos در سال 2019، Phobos با رمزگذاری داده ها و درخواست باج، به ایجاد اختلالات گسترده ادامه داده است.
از سال 2019 کلید RSA در همه انواع Phobos Ransomware استفاده می شود
باج افزار Phobos در حملات به شبکه های دولتی بسیار مشاهده شده است. این Ransomware داده های حیاتی را رمزگذاری کرده و باج های قابل توجهی را طلب کرده است. علاوه بر این، موسسات آموزشی حوادثی را گزارش کردهاند که Phobos شبکههای آنها را به خطر انداخته و منجر به نفوذ به دادههای حساس دانشجویان و اساتید شده است.
قطعه کد در نقطه ورودی برای پیکربندی داده های Phobos در حافظه
در زیر لیست جامعی از IoCهای Phobos است که بر اساس دامنه، آدرس ایمیل، آدرس IP و هش فایل طبقه بندی شده است.
Domains:
- adstat477d[.]xyz
- demstat577d[.]xyz
- serverxlogs21[.]xyz
- mslogger78[.]xyz
- syscheck-log[.]xyz
Email Addresses:
AlbetPattisson1981@protonmail[.]com
henryk@onionmail[.]org
atomicday@tuta[.]io
info@fobos[.]one
axdus@tuta[.]io
it.issues.solving@outlook[.]com
barenuckles@tutanota[.]com
JohnWilliams1887@gmx[.]com
Bernard.bunyan@aol[.]com
jonson_eight@gmx[.]us
bill.g@gmx[.]com
joshuabernandead@gmx[.]com
bill.g@msgsafe[.]io
LettoIntago@onionmail[.]com
bill.g@onionmail[.]org
Luiza.li@tutanota[.]com
bill.gTeam@gmx[.]com
MatheusCosta0194@gmx[.]com
blair_lockyer@aol[.]com
mccreight.ellery@tutanota[.]com
CarlJohnson1948@gmx[.]com
megaport@tuta[.]io
cashonlycash@gmx[.]com
miadowson@tuta[.]io
chocolate_muffin@tutanota[.]com
MichaelWayne1973@tutanota[.]com
claredrinkall@aol[.]com
normanbaker1929@gmx[.]com
clausmeyer070@cock[.]li
nud_satanakia@keemail[.]me
colexpro@keemail[.]me
please@countermail[.]com
cox.barthel@aol[.]com
precorpman@onionmail[.]org
crashonlycash@gmx[.]com
recovery2021@inboxhub[.]net
everymoment@tuta[.]io
recovery2021@onionmail[.]org
expertbox@tuta[.]io
SamuelWhite1821@tutanota[.]com
fastway@tuta[.]io
SaraConor@gmx[.]com
fquatela@techie[.]com
secdatltd@gmx[.]com
fredmoneco@tutanota[.]com
skymix@tuta[.]io
getdata@gmx[.]com
sory@countermail[.]com
greenbookBTC@gmx[.]com
spacegroup@tuta[.]io
greenbookBTC@protonmail[.]com
stafordpalin@protonmail[.]com
helperfiles@gmx[.]com
starcomp@keemail[.]me
helpermail@onionmail[.]org
xdone@tutamail[.]com
helpfiles@onionmail[.]org
xgen@tuta[.]io
helpfiles102030@inboxhub[.]net
xspacegroup@protonmail[.]com
helpforyou@gmx[.]com
zgen@tuta[.]io
helpforyou@onionmail[.]org
zodiacx@tuta[.]io
IP Addresses:
- 194.165.16[.]4 (October 2023)
- 45.9.74[.]14 (December 2023)
- 147.78.47[.]224 (December 2023)
- 185.202.0[.]111 (September and December 2023)
File Hashes:
- SHA-256 Hashes:
- 58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6
- f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed
- 518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
- 9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c
- 482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52
- c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763
- 32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3
- 2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66
- fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6
- a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2
ساختار تابع رمزگشایی AES
تاکتیکها، تکنیکها و رویههای Phobos Ransomware
باج افزار Phobos معمولاً از طریق پورتهای RDP یا ایمیلهای فیشینگ، دسترسی اولیه را به دست میآورد، که اغلب با حملات brute-force برای شکستن رمزهای عبور ضعیف دنبال میشود. این باج افزار از روش های مختلفی برای حفظ پایداری و فرار از تشخیص استفاده می کند، از جمله اصلاحات رجیستری و غیرفعال کردن ابزارهای امنیتی در سیستم هدف. به این وسیله از شناسایی توسط ابزارهای امنیتی در امان می ماند و به کار خود ادامه می دهد.
فهرست پیکربندی Phobos Ransomware
توصیه های نظارت و پاسخ در زمان رویارویی با باج افزار Phobos
توصیه میشود به جای مسدود کردن کامل آدرسهای ایمیل مرتبط با باجافزار فوبوس، آنها را رصد کنید. نظارت بر این آدرسها بسیار مهم است زیرا به محیطهای در معرض خطر اجازه میدهد تا درخواستهای باجافزار را شناسایی کنند، که اغلب از طریق این آدرسهای ایمیل ارتباط برقرار میشود. مسدود کردن این ایمیلها ممکن است مانع از این شود که سازمان متوجه شود آنها در معرض خطر قرار گرفتهاند و به طور بالقوه تلاشهای پاسخ را به تأخیر میاندازد.
ایجاد فایل لاگ و دیباگ توسط Phobos Ransomware
استراتژی های کاهش خطر باج افزار فوبوس
RDP امن: دسترسی به پورت های RDP را غیرفعال یا محدود کنید. از VPN ها و روش های احراز هویت قوی استفاده کنید. بصورت پیش فرض RDP از پروتکل TCP و از پورت 3389 استفاده می کند.
Patch Systems: به طور منظم نرم افزار را برای رفع آسیب پذیری ها به روز کنید.
امنیت سیستم: ابزارهای EDR را برای شناسایی و کاهش تهدیدات مستقر کنید. (EDR) Endpoint Detection and Response یک رویکرد لایهای و یکپارچه برای حفاظت از نقطه پایانی است که نظارت مستمر در زمان واقعی و تجزیه و تحلیل دادههای نقطه پایانی را با پاسخ خودکار مبتنی بر Policyهای جاری ترکیب میکند.
تقسیم بندی شبکه: حرکت جانبی تهدیدات را از طریق تقسیم بندی شبکه به قسمت های مختلف محدود کنید و با اینکار نظارت و مانیتور بر روی آنها را افزایش دهید.
پشتیبان گیری و بازیابی: به طور منظم از اطلاعات خود backup بگیرید.
قطعه کدی که درخواست HTTP POST را پس از تجزیه شناسه نشان می دهد
منابع:
Cybersecsentinel
CISA
Avast
Fortinet
Any Run
Talosintelligence
Socradar