Grazie al lavoro di Cisco Talos è stato possibile individuare una nuova e temibile variante del ransomware Phobos.
Questa, gestita dal gruppo di cybercriminali noto come 8Base, si è resa protagonista di una massiccia campagna avviata tra maggio e giugno dell’anno corrente.
Gli esperti di sicurezza informatica, da allora, hanno catalogato ben 67 attacchi riconducibili al collettivo, con obiettivi distribuiti nel continente americano (dagli Stati Uniti al Brasile). A finire nel mirino di 8Base, a quanto pare, sono in prevalenza piccole e medie imprese, impegnate in diversi settori, dai servizi aziendali, alla finanza fino al contesto IT.
Ad individuare il collegamento tra Phobos e il gruppo sono stati i ricercatori di VMware, che hanno notato l’utilizzo dell’estensione .8base per adottata per i file crittografati.
La nuova variante del ransomware Phobos sfrutta una propria tecnica di crittografia
Perché questo ransomware è così temuto? La versione modificata, se possibile, si rivela più ricca di funzione rispetto a quella più “classica”. I ricercatori, infatti, hanno individuato un numero impressionante di funzionalità di cui il malware è dotato, tra cui spiccano:
- Crittografia completa dei file di dimensione inferiore a 1,5 MB e crittografia parziale dei file più voluminosi per migliorare la velocità delle operazioni;
- Maggior livello di persistenza, ottenuta attraverso l’esecuzione automatica del malware e la modifica delle chiavi di registro;
- Scansione delle condivisioni di rete nella rete locale;
- Disattivazione di ripristino del sistema, di backup e altre funzioni per il recupero dati;
- Blocco del firewall di Windows.
In precedenza, le varianti di Phobos erano distribuite dal gruppo SmokeLoader. Dunque, questa nuova modifica al ransomware ha colto di sorpresa gli esperti del settore.
In un report proposto da Talos viene evidenziato come gli esperti abbiano esaminato a lungo il metodo di crittografia adottato dall’agente malevolo.
Si parla dell’adozione di una personalizzazione della crittografia AES-256 che implementa una chiave simmetrica casuale per ogni file crittografato. Un’altra caratteristica che contribuisce a rendere questa variante ancora più temibile.