Hvad er Phobos?
Phobos, der er opkaldt efter den græske gud for frygt, er en type ransomware med tæt tilknytning til to andre typer berygtede vira, Crysis og Dharma, hvad angår struktur og tilgang. Crysis blev først identificeret i 2016 og blev populær, da den kildekode blev udgivet online. Efter udviklingen af Crysis-dekrypteringsnøgler opdaterede cyberkriminelle koden for at skabe Dharma. Da dekrypteringsværktøjer blev udviklet for at modvirke Dharma, blev ransomwaren ligeledes videreudviklet. Denne 2018-version er kendt som Phobos.
Selvom Dharma og Phobos er meget ens med hensyn til deres kode og populære pga. deres enkelhed, er der én stor forskel: Siden starten af 2022 er der stadig ikke udviklet et dekrypteringsværktøj til Phobos. Derfor skal små og mellemstore virksomhed være særligt opmærksomme på den effekt, som Phobos-ransomware kan have på deres datasikkerhed.
Én grund til, at Dharma og Phobos er populære blandt hackere, er deres ransomware-as-a-service (RaaS)-tilgang, som kræver minimale tekniske færdighed for at iværksætte et angreb. De er begge designet til at gå efter Windows-systemer, da de anvender exploits i Microsofts RDP-kommunikationsprotokol.
Phobos-ransomwarens angrebsvektorer
Hackere bruger Phobos-ransomware til at gå efter fjernskriveborde med svage adgangskoder ved at bruge to primære angrebsvektorer:
- Ved at udføre phishing-kampagner for at stjæle kontodetaljer og adgangskode eller narre den pågældende person til at åbne en skadelige vedhæftet fil.
- Ved at opnå direkte adgang via Remote Desktop Protocol (RDP). Den specifikke port, som ransomware går efter, er port 3389. Botnets kan bruges til at scanne efter systemer, der har efterladt denne port åben, hvilket giver en mulighed for, at angriberen kan gætte logindetaljer via f.eks. et brute force-angreb.
Hvad gør Phobos?
Når der først er sikret adgang til et system, forsøger ransomwaren typisk ikke at omgå Windows Kontrol af brugerkonti. Trusselsaktøren vil kopiere den eksekverbare fil og åbne den med adgangsrettigheder. Eftersom denne proces er så enkel, er Phobos blevet populær blandt cyberkriminelle, fordi dem med mindre færdigheder kan udføre et virkningsfuldt angreb.
Ransomwaren installerer derefter sig selv på vigtige steder såsom i Windows-startmappen og %APPDATA%-mappen og opretter nøgler i registreringsdatabasen, så den kan fortsætte selv efter en systemgenstart.
Phobos vil derefter begynde en løbende scanning og gå efter lokale brugerfiler og netværksdelinger og overvåge nye filer, der opfylder kravene for kryptering. Dette vil typisk omfatte brugergenererede filer, inkl. dokumenter, ofte brugte mapper og medier.
Malwaren vil også udføre nogle beskyttelsestiltag, inkl.:
- At slette skyggebackups af filer
- At blokere genoprettelsestilstand
- At deaktivere sikkerhedstiltag, inkl. firewall.
Disse forsøg på at skjule sin spor ligner den tilgang, som benyttes af Sodinokibi-ransomware.
Phobos-kryptering
Phobos anvender Advanced Encryption Standard AES-256 sammen med en anden populære algoritme, RSA-1024. Selve dataene er krypteret med AES, mens den private nøgle, der bruges til dekryptering, krypteres med RSA. Både AES og RSA bruges meget til sikre dataoverførsler til både legitime og svigagtige formål.
Filerne omdøbes derefter med et filtypenavn, der indeholder:
- Et id-nummer, som også er løsepengenoten. Den vil være i to dele og kan indeholde bogstaver og tal.
- En mailadresse, som også vises i noten og er der, hvor ofre bliver bedt om at anmode om deres filer
- Et filtypenavn, som er et tilsyneladende tilfældigt ord, der bruges til at adskille den person eller gruppe, der er ansvarlig for angrebet.
Filtypenavnet vil være struktureret på følgende måde:
.ID[email address 1].[added extension]
En fil, der oprindeligt hedder photo.jpg, kan være omdøbt til noget som:
Photo.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow
Desværre findes der ikke nogen Phobos-dekryptering ud over de nøgler, som de cyberkriminelle, der udviklede ransomwaren, besidder. Dette fremhæver vigtigheden af at foretage jævnlige systembackups og gemme disse et sikkert sted – dette kan være den eneste måde at gendanne dine forretningsdata på – og bruge cybersikkerhedssoftware til at scanne efter og fjerne skadelige filer.
Hvad du skal gøre, hvis din computer bliver hacket for løsepenge
Du har muligvis gjort, alt hvad du kan for at forhindre ransomware, men hvis du opdager, at din enhed eller dit netværk er inficeret, er der forskellige tiltag, du bør benytte for at beskytte din virksomhed.
Isolér enheden fra netværket
Det første trin er at minimere skaden og forhindre virussen i at sprede sig endnu mere. Den inficerede enhed bør straks frakobles internettet og fjernes fra netværket. Alle enheder, der var forbundet, bør scannes for skadelig software.
Husk på, at modtagelse af en løsepengenote ikke er afslutningen på et Phobos-angreb – ransomwaren vil fortsætte med at scanne efter ændringer af enheder og inficere nye filer selv uden en internetforbindelse.
Brug sikkerhedsværktøjer til at fjerne den skadelige software
Afhængigt af ransomware-typen findes der flere fjernelsesmetoder. I nogle tilfælde vil ransomwaren slette sig selv for at gøre det sværere at identificere typen af angreb og finde en dekrypteringsnøgle, hvis der er en tilgængelig. Med andre ord vil filen blive og kræve et fjernelsesværktøj for at rense dit system.
Avast Small Business Cybersecurity Solutions kan identificere og fjerne mange forskellige typer ransomware og dermed beskytte dine enheder mod fremtidige angreb.
Gendan data fra en backup
Hvis du har haft jævnlige backups, bør du sikker kunne gendanne dine forretningsdata, når ransomwaren er blevet fjernet.
Uden en backup og uden en dekrypteringsnøgle tilgængelig er der ikke nogen genoprettelsesløsninger til et Phobos-angreb. I denne situation er det eneste, der kan gøres, at sikkerhedskopiere alle filer, du har adgang til, indtil en nøgle bliver offentligt tilgængelig.
Det anbefales ikke at betale løsepengene. Betalinger vil ikke kun tilskynde flere angreb, men der er heller ingen garanti for, at den cyberkriminelle vil give dig filerne tilbage.
Anmeld angriberen til myndighederne
Cyberkriminalitet bør anmeldes til myndighederne, så angrebstrends kan registreres. I USA skal ransomware-hændelser rapporteres til Cyberstructure & Infrastructure Security Agency (CISA) via deres rapporteringsværktøj. I Storbritannien bør cyberkriminalitet rapporteres til Action Fraud.