Novo ransomware explora segurança fraca para atingir alvos em todo o mundo

Uma prolífica gangue de cibercrimes por trás de uma série de ataques de ransomware está distribuindo uma nova forma de malware de criptografia de arquivos, que combina duas variantes conhecidas e bem-sucedidas em uma série de ataques contra empresas em todo o mundo.

Apelidado Phobos por seus criadores, o ransomware surgiu pela primeira vez em dezembro e pesquisadores da CoveWare detalharam como ele compartilha várias semelhanças com o ransomware Dharma .

Como o Dharma, Phobos explora portas RDP abertas ou mal protegidas para se infiltrar em redes e executar um ataque de ransomware, criptografando arquivos e exigindo um resgate para ser pago em bitcoin por devolver os arquivos, que neste caso são bloqueados com uma extensão .phobos.

A demanda é feita em uma nota de resgate – e além dos logotipos de Phobos serem adicionados à nota de resgate, é exatamente o mesmo que a nota usada pelo Dharma, com o mesmo tipo de letra e texto em uso.

Não é apenas a nota de resgate que Phobos compartilha com Dharma – grande parte do código por trás do ransomware é o mesmo que os pesquisadores descrevem como uma “variante de Dharma em grande parte recortada e colada”.

phobos-ransomware-note.png
Imagem-Nota de resgate do Phobos

No entanto, Phobos também contém elementos do CrySiS ransomware – também relacionado ao Dharma – com software anti-vírus detectando Phobos como CrySiS. Os marcadores de arquivo do ransomware também o diferenciam do Dharma – no entanto, os métodos de ataque e ameaças permanecem os mesmos.

“O que está claro é que, embora o tipo de ransomware possa ser diferente, o grupo que distribui Phobos, os métodos de exploração, as notas de resgate e as comunicações continuam quase idênticos ao Dharma” , disseram os pesquisadores em um post no blog .

Phobos está sendo distribuído pela gangue por trás do Dharma e provavelmente serve como uma apólice de seguro para campanhas maliciosas, fornecendo aos atacantes uma segunda opção para a realização de ataques, caso o Dharma seja decifrado ou impedido de extorquir com sucesso os resgates das vítimas.

Atualmente, o Dharma continua sendo uma das famílias mais prejudiciais de ransomware durante 2018 .

No entanto, as organizações podem percorrer um longo caminho para não se tornarem vítimas, em primeiro lugar, protegendo suas portas RDP e fazendo o backup regular de seus dados , portanto, se o pior acontecer, é possível restaurar sistemas sem atender às demandas de criminosos cibernéticos.

Fonte zdnet