Ransomware Phobos: pericolosa variante protagonista di un nuovo attacco

Nuova variante Phobos, il ransomware sfrutta nuove funzioni e una nuova modalità di crittografia: ecco perché gli esperti sono preoccupati.
Marco Ponteprino
Pubblicato il 20 nov 2023
Ransomware Phobos: pericolosa variante protagonista di un nuovo attacco
piqsels.com

Grazie al lavoro di Cisco Talos è stato possibile individuare una nuova e temibile variante del ransomware Phobos.

Questa, gestita dal gruppo di cybercriminali noto come 8Base, si è resa protagonista di una massiccia campagna avviata tra maggio e giugno dell’anno corrente.

Gli esperti di sicurezza informatica, da allora, hanno catalogato ben 67 attacchi riconducibili al collettivo, con obiettivi distribuiti nel continente americano (dagli Stati Uniti al Brasile). A finire nel mirino di 8Base, a quanto pare, sono in prevalenza piccole e medie imprese, impegnate in diversi settori, dai servizi aziendali, alla finanza fino al contesto IT.

Ad individuare il collegamento tra Phobos e il gruppo sono stati i ricercatori di VMware, che hanno notato l’utilizzo dell’estensione .8base per adottata per i file crittografati.

La nuova variante del ransomware Phobos sfrutta una propria tecnica di crittografia

Perché questo ransomware è così temuto? La versione modificata, se possibile, si rivela più ricca di funzione rispetto a quella più “classica”. I ricercatori, infatti, hanno individuato un numero impressionante di funzionalità di cui il malware è dotato, tra cui spiccano:

  • Crittografia completa dei file di dimensione inferiore a 1,5 MB e crittografia parziale dei file più voluminosi per migliorare la velocità delle operazioni;
  • Maggior livello di persistenza, ottenuta attraverso l’esecuzione automatica del malware e la modifica delle chiavi di registro;
  • Scansione delle condivisioni di rete nella rete locale;
  • Disattivazione di ripristino del sistema, di backup e altre funzioni per il recupero dati;
  • Blocco del firewall di Windows.

In precedenza, le varianti di Phobos erano distribuite dal gruppo SmokeLoader. Dunque, questa nuova modifica al ransomware ha colto di sorpresa gli esperti del settore.

In un report proposto da Talos viene evidenziato come gli esperti abbiano esaminato a lungo il metodo di crittografia adottato dall’agente malevolo.

Si parla dell’adozione di una personalizzazione della crittografia AES-256 che implementa una chiave simmetrica casuale per ogni file crittografato. Un’altra caratteristica che contribuisce a rendere questa variante ancora più temibile.

Ti consigliamo anche

Scoperto pericoloso malware che si finge login per account Google
Vulnerabilità

Scoperto pericoloso malware che si finge login per account Google
Malware mascherato da documento PDF in Windows: come può accadere
Windows

Malware mascherato da documento PDF in Windows: come può accadere
Nuovo e pericoloso malware agisce disattivando gli antivirus
Vulnerabilità

Nuovo e pericoloso malware agisce disattivando gli antivirus
Patch Tuesday di Microsoft: corretto exploit zero-day che annulla precedenti patch
Vulnerabilità

Patch Tuesday di Microsoft: corretto exploit zero-day che annulla precedenti patch
Link copiato negli appunti