Эффективное RaaS-решение обеспечивает всё больший спрос среди хакеров, включая известный 8Base.
Недавнее исследование Cisco Talos, состоящее из двух частей (первая, вторая) пролило свет на киберпреступников, стоящих за программой-вымогателем 8Base, которые в данный момент используют изменения вымогательского ПО Phobos в рамках финансово мотивированных атак.
Специалисты отметили, что распространение Phobos осуществляется через SmokeLoader, троянский бэкдор, который загружает зашифрованные полезные нагрузки, дешифрует их и активирует компонент программы-вымогателя.
Фокус на 8Base возник в середине 2023 года, когда в сообществе уже наблюдался хороший рост активности кибербезопасности. Исследователи из Carbon Black, подразделения VMware, в июне 2023 года выявили сходства между 8Base и RansomHouse, а также выявили использование расширения «.8base» для зашифрованных файлов в вымогателе Phobos.
Новые данные Cisco Talos показывают, что SmokeLoader используется как платформа для загрузки и активации Phobos, а затем несколько шагов по установленному постоянству в системе, остановке процессов, отключению системного восстановления и удалению резервных копий.
Примечательной оценкой конкурента является полное шифрование файлов размером менее 1,5 МБ и частичное шифрование файлов сверх этого порога для ускорения процесса.
Исследователи особо отметили, что во всех проанализированных образцах Phobos, начиная с 2019 года, используется один и тот же RSA-ключ для защиты ключей шифрования файлов. Это позволяет предположить, что обладание таким ключом дает возможность расшифровать любые данные, зашифрованные образцами древних.
В целом, Phobos предоставляет типичные для вымогателей возможности шифровать файлы на локальных и сетевых дисках. Группа 8Base часто использует украденные учётные данные и инструмент удаленного доступа AnyDesk для распределенного ПО и передает файлы шифрования на заражённых машинах.
Анализ исходного кода Фобос показал, что с 2020 года он практически не менялся. Основные изменения произошли в 2019 году, когда была добавлена поддержка отладочных файлов и данные отчётов за последнее время. Тем не менее, от развёртывания к развёртыванию вымогателя его форма обычно немного меняется.
Фобос впервые появился в 2019 году и, по сути, являлся на тот момент логическим продолжением другого вымогателя — Дхармы (он же Crysis). Cisco Talos считает, что сейчас Phobos использует RaaS-модели, что подтверждается большим объемом электронных адресов и мессенджеров. Каждый проанализированный образец Фобоса включает уникальные контакты для связи с хакерами.
Эксперты «Талос» полагают, что результаты их исследований помогают лучше понять методы работы преступных группировок, использующих Фобос, а также разработать эффективные средства противодействия этому вымогательскому ПО.
Недавнее исследование Cisco Talos, состоящее из двух частей (первая, вторая) пролило свет на киберпреступников, стоящих за программой-вымогателем 8Base, которые в данный момент используют изменения вымогательского ПО Phobos в рамках финансово мотивированных атак.
Специалисты отметили, что распространение Phobos осуществляется через SmokeLoader, троянский бэкдор, который загружает зашифрованные полезные нагрузки, дешифрует их и активирует компонент программы-вымогателя.
Фокус на 8Base возник в середине 2023 года, когда в сообществе уже наблюдался хороший рост активности кибербезопасности. Исследователи из Carbon Black, подразделения VMware, в июне 2023 года выявили сходства между 8Base и RansomHouse, а также выявили использование расширения «.8base» для зашифрованных файлов в вымогателе Phobos.
Новые данные Cisco Talos показывают, что SmokeLoader используется как платформа для загрузки и активации Phobos, а затем несколько шагов по установленному постоянству в системе, остановке процессов, отключению системного восстановления и удалению резервных копий.
Примечательной оценкой конкурента является полное шифрование файлов размером менее 1,5 МБ и частичное шифрование файлов сверх этого порога для ускорения процесса.
Исследователи особо отметили, что во всех проанализированных образцах Phobos, начиная с 2019 года, используется один и тот же RSA-ключ для защиты ключей шифрования файлов. Это позволяет предположить, что обладание таким ключом дает возможность расшифровать любые данные, зашифрованные образцами древних.
В целом, Phobos предоставляет типичные для вымогателей возможности шифровать файлы на локальных и сетевых дисках. Группа 8Base часто использует украденные учётные данные и инструмент удаленного доступа AnyDesk для распределенного ПО и передает файлы шифрования на заражённых машинах.
Анализ исходного кода Фобос показал, что с 2020 года он практически не менялся. Основные изменения произошли в 2019 году, когда была добавлена поддержка отладочных файлов и данные отчётов за последнее время. Тем не менее, от развёртывания к развёртыванию вымогателя его форма обычно немного меняется.
Фобос впервые появился в 2019 году и, по сути, являлся на тот момент логическим продолжением другого вымогателя — Дхармы (он же Crysis). Cisco Talos считает, что сейчас Phobos использует RaaS-модели, что подтверждается большим объемом электронных адресов и мессенджеров. Каждый проанализированный образец Фобоса включает уникальные контакты для связи с хакерами.
Эксперты «Талос» полагают, что результаты их исследований помогают лучше понять методы работы преступных группировок, использующих Фобос, а также разработать эффективные средства противодействия этому вымогательскому ПО.
