As agências de cibersegurança e inteligência dos EUA alertaram sobre ataques de ransomware Phobos visando entidades governamentais e infraestrutura crítica, delineando as várias táticas e técnicas que os atores de ameaças adotaram para implantar o malware de criptografia de arquivos.

“Estruturado como um modelo de ransomware como serviço (RaaS), os atores do ransomware Phobos visaram entidades incluindo governos municipais e de condados, serviços de emergência, educação, saúde pública e infraestrutura crítica para resgatar com sucesso vários milhões em dólares dos EUA”, disse o governo.

Ativo desde maio de 2019, várias variantes do ransomware Phobos foram identificadas até o momento, nomeadamente Eking, Eight, Elbie, Devos, Faust e Backmydata. No final do ano passado, a Cisco Talos revelou que os atores de ameaças por trás do ransomware 8Base estão utilizando uma variante do ransomware Phobos para conduzir seus ataques motivados financeiramente.

Há evidências que sugerem que o Phobos é provavelmente gerenciado de perto por uma autoridade central, que controla a chave de descriptografia privada do ransomware. As redes vulneráveis são violadas caçando serviços RDP expostos e explorando-os por meio de um ataque de força bruta.

Uma invasão digital bem-sucedida é seguida pelos atores de ameaças soltando ferramentas adicionais de acesso remoto, aproveitando técnicas de injeção de processo para executar código malicioso e evitar detecção, e fazendo modificações no Registro do Windows para manter a persistência dentro de ambientes comprometidos.