Was ist Phobos?
Phobos wurde nach dem griechischen Gott der Angst benannt und ist eine Art von Ransomware, die in Bezug auf Struktur und Vorgehensweise eng mit zwei anderen berüchtigten Virenarten, Crysis und Dharma, verwandt ist. Crysis wurde erstmals 2016 identifiziert und erlangte große Aufmerksamkeit, als sein Quellcode online veröffentlicht wurde. Nach der Erstellung von Crysis-Entschlüsselungsschlüsseln aktualisierten die Cyberkriminellen den Code, um Dharma zu erstellen. Nachdem auch Entschlüsselungstools für Dharma entwickelt wurden, entwickelte sich die Ransomware weiter. Diese im Jahr 2018 entstandene Version trägt den Namen Phobos.
Während sich Dharma und Phobos in Bezug auf ihren Code sehr ähneln und aufgrund ihrer Einfachheit beliebt sind, gibt es einen großen Unterschied: Anfang 2022 gibt es immer noch kein Entschlüsselungstool für Phobos. Daher müssen kleine und mittlere Unternehmen besonders achtsam sein, was die Auswirkungen eines Phobos-Ransomware-Angriffs auf ihre Datensicherheit angeht.
Ein Grund, warum Dharma und Phobos bei Hackern so beliebt sind, ist ihr Ransomware-as-a-Service-Ansatz (RaaS), der für einen Angriff nur minimale technische Kenntnisse erfordert. Beide zielen auf Windows-Systeme ab, da sie Schwachstellen im RDP-Kommunikationsprotokoll von Microsoft ausnutzen.
Angriffsvektoren für Phobos Ransomware
Hacker verwenden Phobos Ransomware, um Remote-Desktops mit schwachen Passwörtern über zwei Hauptangriffsvektoren anzugreifen:
- Sie führen Phishing-Kampagnen durch, um Kontodaten und Passwörter zu stehlen, oder sie bringen die Zielperson dazu, einen bösartigen Anhang zu öffnen.
- Durch direkten Zugriff über das Remote Desktop Protocol (RDP). Der spezifische Port, auf den die Ransomware abzielt, ist Port 3389. Botnets können dazu verwendet werden, nach Systemen zu suchen, die diesen Port offen gelassen haben, sodass der böswillige Akteur die Möglichkeit hat, die Anmeldedaten zu erraten, z. B. durch einen Brute-Force-Angriff.
Was macht Phobos?
Sobald der Zugang zu einem System gesichert ist, versucht die Ransomware normalerweise nicht, die Windows-Benutzerkontensteuerung (UAC) zu umgehen. Der Bedrohungsakteur kopiert die ausführbare Datei und startet sie mit Zugriffsrechten. Da dieser Vorgang so einfach ist, ist Phobos bei Cyberkriminellen sehr beliebt, denn so können auch weniger versierte Personen einen wirkungsvollen Angriff durchführen.
Die Ransomware installiert sich dann an wichtigen Orten, wie dem Windows-Startordner und dem Ordner %APPDATA%, und erstellt Registrierungsschlüssel, damit sie auch nach einem Neustart des Systems weiterarbeiten kann.
Phobos beginnt dann mit einem kontinuierlichen Scan, der lokale Benutzerdateien und Netzwerkfreigaben erfasst und nach neuen Dateien sucht, die die Anforderungen für die Verschlüsselung erfüllen. In der Regel handelt es sich dabei um vom Benutzer erstellte Dateien, einschließlich Dokumenten, häufig verwendeten Ordnern und Medien.
Die Malware führt auch einige Schutzmaßnahmen durch, darunter:
- Löschen von Schattenkopie-Backups von Dateien
- Blockieren des Wiederherstellungsmodus
- Deaktivieren von Sicherheitsmaßnahmen, einschließlich Firewalls.
Diese Versuche, seine Spuren zu verwischen, ähneln der Vorgehensweise der Sodinokibi Ransomware.
Phobos-Verschlüsselung
Phobos verwendet den Advanced Encryption Standard AES-256 neben einem anderen beliebten Algorithmus, RSA-1024. Die Daten selbst werden mit AES verschlüsselt, während der private Schlüssel, der zur Entschlüsselung verwendet wird, mit RSA verschlüsselt wird. Sowohl AES als auch RSA werden häufig für die sichere Datenübertragung verwendet, sowohl für legitime als auch für bösartige Zwecke.
Die Dateien werden dann mit einer Erweiterung umbenannt, die Folgendes enthält:
- Eine ID-Nummer, die auch in der Lösegeldforderung enthalten ist. Sie besteht aus zwei Teilen und kann Buchstaben und Zahlen enthalten
- Eine E-Mail-Adresse, die ebenfalls in der Lösegeldforderung erscheint und an die die Opfer ihre Dateien anfordern sollen
- Eine Erweiterung, bei der es sich um ein scheinbar zufälliges Wort handelt, das zur Unterscheidung der für den Angriff verantwortlichen Person oder Gruppe verwendet wird.
Die Erweiterung ist wie folgt aufgebaut:
.ID[Email-Adresse 1].[hinzugefügte Erweiterung]
Beispielsweise könnte eine Datei, die ursprünglich Foto.jpg hieß, in etwas wie folgt umbenannt werden:
Foto.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow
Leider gibt es keinen Phobos-Entschlüsseler, außer den Schlüsseln, die sich im Besitz der Cyberkriminellen befinden, die die Ransomware entwickelt haben. Dies unterstreicht die Wichtigkeit regelmäßiger System-Backups und deren Speicherung an einem sicheren Ort – dies ist möglicherweise die einzige Möglichkeit, Ihre Geschäftsdaten wiederherzustellen – sowie die Verwendung von Cybersicherheitssoftware, um nach bösartigen Dateien zu suchen und diese zu entfernen.
Was tun, wenn Ihr Computer gehackt wurde und Lösegeld gefordert wird?
Sie haben vielleicht alles getan, um Ransomware zu verhindern, aber wenn Sie feststellen, dass Ihr Gerät oder Netzwerk infiziert wurde, sollten Sie eine Reihe von Maßnahmen ergreifen, um Ihr Unternehmen zu schützen.
Isolieren Sie das Gerät vom Netzwerk
Der erste Schritt besteht darin, den Schaden zu minimieren und eine weitere Ausbreitung des Virus zu verhindern. Das infizierte Gerät sollte sofort vom Internet getrennt und aus dem Netzwerk entfernt werden. Alle Geräte, die damit verbunden waren, sollten auf bösartige Software gescannt werden.
Denken Sie daran, dass der Erhalt einer Lösegeldforderung nicht das Ende eines Phobos-Angriffs bedeutet – die Ransomware sucht auch ohne Internetverbindung weiter nach Änderungen auf dem Gerät und infiziert neue Dateien.
Verwenden Sie Sicherheitstools zur Entfernung der bösartigen Software
Je nach Art der Ransomware gibt es eine Reihe von Entfernungsmethoden. In einigen Fällen löscht sich die Ransomware selbst, um die Identifizierung der Art des Angriffs und das Auffinden eines Entschlüsselungsschlüssels zu erschweren, sollte ein solcher vorhanden sein. In anderen Fällen bleibt die Datei bestehen und Sie benötigen ein Entfernungsprogramm zur Säuberung Ihres Systems.
Die Cybersicherheitslösungen von Avast für kleine Unternehmen kann viele verschiedene Arten von Ransomware identifizieren und entfernen, sodass Ihre Geräte vor zukünftigen Angriffen geschützt bleiben.
Daten aus Backup wiederherstellen
Wenn Sie regelmäßig Backups erstellt haben, sollten Sie in der Lage sein, Ihre Geschäftsdaten sicher wiederherzustellen, sobald die Ransomware entfernt wurde.
Ohne Backup und ohne Entschlüsselungsschlüssel gibt es keine Wiederherstellungslösungen für einen Phobos-Angriff. In diesem Fall können Sie nur ein Backup aller Dateien erstellen, auf die Sie zugreifen können, bis ein Schlüssel veröffentlicht wird.
Wir raten davon ab, das Lösegeld zu zahlen. Zahlungen ermutigen nicht nur zu weiteren Angriffen, es gibt auch keine Gewähr, dass der Cyberkriminelle Ihre Dateien wieder hergibt.
Den Angriff bei den Behörden melden
Cyberkriminalität sollte den Behörden gemeldet werden, damit Angriffstrends erfasst werden können. In den USA sollten Ransomware-Vorfälle der Cyberstructure & Infrastructure Security Agency (CISA) über deren Meldetool gemeldet werden. Im Vereinigten Königreich sollte Cyberkriminalität an Action Fraud gemeldet werden.