¿Qué es Phobos?
Phobos, llamado así por el dios griego del temor y el horror, es un tipo de ransomware con estrechos vínculos con otros dos tipos de virus famosos por su estructura y enfoque: Crysis y Dharma. Crysis se identificó por primera vez en 2016 y se hizo popular cuando su código fuente se publicó en línea. Tras la creación de las claves de descifrado de Crysis, los ciberdelincuentes actualizaron el código para crear Dharma. Del mismo modo, cuando se desarrollaron herramientas de descifrado contra Dharma, el ransomware volvió a evolucionar. Y esta versión de 2018 se conoce como Phobos.
Aunque Dharma y Phobos son muy similares en cuanto a su código y populares debido a su simplicidad, hay una diferencia importante: a día de hoy (principios de 2022) todavía no hay una herramienta de descifrado disponible para Phobos. En consecuencia, las pequeñas y medianas empresas deben estar especialmente atentas al impacto que un ataque del ransomware Phobos podría tener en la seguridad de sus datos.
Una de las razones por las que Dharma y Phobos son populares entre los hackers es su enfoque de ransomware como servicio (RaaS), que requiere unos conocimientos técnicos mínimos para lanzar un ataque. Ambos están diseñados para atacar sistemas Windows, ya que utilizan exploits en el protocolo de comunicación RDP de Microsoft.
Vectores de ataque del ransomware Phobos
Los hackers utilizan el ransomware Phobos para atacar escritorios remotos con contraseñas débiles utilizando dos vectores de ataque principales:
- Lanzando campañas de phishing para robar datos de cuentas y contraseñas, o para engañar a la persona objetivo para que abra un archivo adjunto malicioso.
- Obteniendo acceso directo mediante el Protocolo de Escritorio Remoto (RDP). El puerto específico al que apunta el ransomware es el puerto 3389. Pueden utilizarse botnets para buscar sistemas que hayan dejado abierto este puerto, lo que brinda al delincuente la oportunidad de adivinar los datos de acceso utilizando, por ejemplo, un ataque de fuerza bruta.
¿Qué hace Phobos?
Una vez asegurado el acceso al sistema, el ransomware no suele intentar eludir el Control de cuentas de usuario (UAC) de Windows. El actor de la amenaza copiará el archivo ejecutable y lo lanzará utilizando privilegios de acceso. Como este proceso es tan sencillo, Phobos se ha hecho popular entre los ciberdelincuentes, ya que permite a aquellos con menos habilidades llevar a cabo un ataque impactante.
A continuación, el ransomware se instala en ubicaciones clave, como la carpeta de inicio de Windows y la carpeta %APPDATA%, y crea claves de registro para que pueda reanudarse incluso después de reiniciar el sistema.
Phobos inicia entonces un escaneo continuo, centrándose en los archivos locales de los usuarios y en los recursos compartidos de red, y vigilando la aparición de nuevos archivos que cumplan los requisitos para ser cifrados. Esto incluirá normalmente archivos generados por el usuario, incluidos documentos, carpetas de uso común y soportes.
El malware también lleva a cabo algunas medidas de protección, incluyendo:
- Eliminación de copias de seguridad sombra de archivos
- Bloqueo del modo de recuperación
- Desactivación de las medidas de seguridad, incluidos los cortafuegos.
Estos intentos de tapar sus huellas son similares al enfoque adoptado por el ransomware Sodinokibi.
Cifrado de Phobos
Phobos utiliza el Estándar de cifrado avanzado AES-256 junto a otro algoritmo popular, el RSA-1024. Los propios datos se cifran con AES, mientras que la clave privada utilizada para el descifrado se cifra con RSA. Tanto AES como RSA se utilizan habitualmente para la transmisión segura de datos, tanto con fines legítimos como maliciosos.
A continuación, los archivos se renombran con una extensión que contiene:
- Un número de ID, que también aparece en la nota de rescate. Estará dividido en dos partes y podrá contener letras y números
- Una dirección de email, que también aparece en la nota y es donde se indica a las víctimas que soliciten sus expedientes
- Una extensión, que es una palabra aparentemente aleatoria utilizada para diferenciar a la persona o al grupo responsable del ataque.
La extensión se estructurará de la siguiente manera:
.ID[dirección de correo electrónico 1].[extensión añadida]
Por ejemplo, un archivo originalmente llamado Foto.jpg podría renombrarse a algo como:
Foto.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow
Lamentablemente, no hay ningún descifrador de Phobos disponible, aparte de las claves en poder de los ciberdelincuentes que crearon el ransomware. Por ello es muy importante realizar copias de seguridad periódicas del sistema y almacenarlas en un lugar seguro (esta puede ser la única forma de recuperar los datos de su empresa) y de utilizar software de ciberseguridad para buscar y eliminar archivos maliciosos.
Qué hacer si hackean su ordenador para pedir un rescate
Puede que haya hecho todo lo posible para prevenir el ransomware, pero si descubre que su dispositivo o su red han sido infectados, hay una serie de medidas que debe tomar para proteger su empresa.
Aislar el dispositivo de la red
El primer paso es minimizar los daños y evitar que el virus siga propagándose. El dispositivo infectado debe desconectarse inmediatamente de Internet y eliminarse de la red. Todos los dispositivos que se conectaron deben ser escaneados en busca de software malicioso.
Tenga en cuenta que recibir un mensaje de rescate no es el final de un ataque de Phobos: el ransomware seguirá buscando cambios en el dispositivo e infectando nuevos archivos incluso sin conexión a Internet.
Utilice herramientas de seguridad para eliminar el software malicioso
Dependiendo del tipo de ransomware, existen varios métodos de eliminación. En algunos casos, el ransomware se eliminará a sí mismo para dificultar la identificación del tipo de ataque y la localización de una clave de descifrado, si la hubiera. En otros, el archivo permanecerá y requerirá una herramienta de eliminación para limpiar su sistema.
Las Soluciones de ciberseguridad de Avast Small Business pueden identificar y eliminar muchos tipos diferentes de ransomware para mantener sus dispositivos protegidos contra futuros ataques.
Restaurar datos desde una copia de seguridad
Si ha realizado copias de seguridad de forma periódica, debería poder recuperar con seguridad los datos de su empresa una vez eliminado el ransomware.
Sin una copia de seguridad y sin una clave de descifrado disponible, no existen soluciones de recuperación para un ataque de Phobos. En esta situación, lo único que se puede hacer es una copia de seguridad de todos los archivos a los que pueda acceder hasta que una clave esté disponible públicamente.
No se recomienda pagar el rescate. Pagar no solo sienta un precedente de cara a nuevos ataques, sino que tampoco es una garantía de que el ciberdelincuente le devuelva sus archivos.
Informe del ataque a las autoridades
La ciberdelincuencia debe denunciarse a las autoridades para que puedan registrarse las tendencias de los ataques. En EE. UU., los incidentes de ransomware deben notificarse a la Agencia de Seguridad de Infraestructuras y Ciberestructuras (CISA) a través de su herramienta de denuncias. En el Reino Unido, el cibercrimen debe denunciarse a través de Action Fraud.