Supportiamo i browser, non i dinosauri. Aggiorna il tuo browser per visualizzare correttamente il contenuto di questa pagina Web.

Non sai qual è la soluzione più adatta per la tua azienda?
Aiutami a scegliere
Skip to main content
  1. Per aziende
  2. Risorse
  3. Che cos'è il ransomware Phobos?

Che cos'è il ransomware Phobos e come rimuoverlo

Phobos è un tipo di ransomware che ha fatto la sua comparsa nel 2018 e rimane una minaccia per i server aziendali. Questo perché sfrutta gli errori di configurazione del protocollo RDP (Remote Desktop Protocol), che viene utilizzato da milioni di persone in tutto il mondo per connettersi in remoto alle reti aziendali. In questa guida scoprirai che cos'è Phobos, come funziona e cosa fare per prevenire un attacco alla tua azienda.

Proteggi la tua azienda con le soluzioni Avast Business

Che cos'è Phobos?

Phobos, dal nome del dio greco della paura, è un ransomware con stretti legami con altri due famigerati tipi di virus, Crysis e Dharma, in termini di struttura e approccio. Crysis è stato identificato per la prima volta nel 2016 ed è diventato popolare quando il suo codice sorgente è stato rilasciato online. Dopo la creazione di chiavi di decriptaggio per Crysis, i criminali informatici hanno aggiornato il codice per creare Dharma. Analogamente, quando sono stati sviluppati strumenti di decriptaggio per Dharma, il ransomware si è evoluto di nuovo. Questa iterazione del 2018 è nota come Phobos.

Anche se Dharma e Phobos sono molto simili in termini di codice e popolari grazie alla loro semplicità, c'è una grande differenza: all'inizio del 2022, non è ancora disponibile alcuno strumento di decriptaggio per Phobos. Di conseguenza, le piccole e medie imprese devono prestare particolare attenzione all'impatto che un attacco del ransomware Phobos potrebbe avere sulla sicurezza dei dati.

Uno dei motivi per cui Dharma e Phobos sono popolari tra gli hacker è il loro approccio ransomware-as-a-service (RaaS), che richiede competenze tecniche minime per lanciare un attacco. Entrambi sono progettati per colpire i sistemi Windows, in quanto utilizzano exploit nel protocollo di comunicazione RDP di Microsoft.

Vettori di attacco del ransomware Phobos

Gli hacker utilizzano il ransomware Phobos per colpire i desktop remoti con password deboli sfruttando principalmente due vettori di attacco:

  • Conducendo campagne di phishing per sottrarre dettagli e password degli account o per indurre la persona presa di mira ad aprire un allegato dannoso.
  • Ottenendo l'accesso diretto tramite il protocollo RDP (Remote Desktop Protocol). La specifica porta presa di mira dal ransomware è la 3389. Possono essere utilizzate botnet per eseguire la scansione dei sistemi in cui questa porta è stata lasciata aperta, offrendo all'autore dell'attacco l'opportunità di individuare i dettagli di accesso, ad esempio mediante un attacco di forza bruta.

Che cosa fa Phobos?

Una volta ottenuto l'accesso a un sistema, il ransomware in genere non tenta di bypassare la funzionalità Controllo dell'account utente di Windows. L'autore dell'attacco copierà il file eseguibile e lo avvierà utilizzando i privilegi di accesso. Poiché questo processo è così semplice, Phobos è diventato popolare tra i criminali informatici, in quanto consente di sferrare un attacco con un impatto significativo anche a chi ha minime competenze tecniche.

Il ransomware si installerà quindi in posizioni chiave, come la cartella di avvio di Windows e la cartella %APPDATA% e creerà chiavi del Registro di sistema in modo da riprendere il processo anche dopo un riavvio del sistema.

Phobos inizierà quindi una scansione continua dei file degli utenti locali e delle condivisioni di rete, monitorando i nuovi file che soddisfano i requisiti per il criptaggio. Questi in genere comprendono i file generati dall'utente, inclusi documenti, cartelle usate di frequente e supporti.

Il malware metterà inoltre in atto alcune misure di protezione, tra cui:

  • Eliminazione dei backup con copia shadow dei file
  • Blocco della modalità di ripristino
  • Disattivazione delle misure di sicurezza, inclusi i firewall.

Questi tentativi di coprire le sue tracce sono simili all'approccio adottato dal ransomware Sodinokibi.

Criptaggio di Phobos

Phobos utilizza Advanced Encryption Standard (AES-256), insieme a un altro algoritmo molto usato, RSA-1024. I dati stessi sono criptati con AES, mentre la chiave privata utilizzata per la decriptaggio è criptata con RSA. Sia AES che RSA sono ampiamente utilizzati per la trasmissione sicura dei dati, sia per scopi legittimi che dannosi.

I file vengono quindi rinominati con un'estensione contenente:

  • Un numero ID, che appare anche nella richiesta di riscatto. L'ID è in due parti e può contenere lettere e numeri.
  • Un indirizzo email, presente anche nella richiesta di riscatto, che le vittime devono contattare per richiedere i loro file.
  • Un'estensione, che è una parola apparentemente casuale usata per differenziare la persona o il gruppo responsabile dell'attacco.

L'estensione sarà strutturata come segue:

.ID[indirizzo email 1].[estensione aggiunta]

Ad esempio, un file originariamente denominato Foto.jpg potrebbe essere rinominato come:

Foto.jpg.id[12345A5B-0000].[hacker@hacking.com].elbow

Sfortunatamente non è disponibile uno strumento di decriptaggio per Phobos oltre alle chiavi detenute dai criminali informatici che hanno creato il ransomware. Ciò evidenzia l'importanza di eseguire backup periodici del sistema e archiviarli in un luogo sicuro (questo potrebbe essere l'unico modo per recuperare i dati aziendali) e utilizzare software di sicurezza informatica per identificare e rimuovere i file dannosi.

Cosa fare se un computer viene violato dal ransomware

Potresti aver fatto tutto il possibile per prevenire il ransomware, ma se rilevi un'infezione di un dispositivo o della rete, esistono diverse misure da adottare per proteggere la tua azienda.

Isola il dispositivo dalla rete

Il primo passo è ridurre al minimo i danni e impedire al virus di diffondersi ulteriormente. Il dispositivo infetto deve essere immediatamente disconnesso da Internet e rimosso dalla rete. Tutti i dispositivi connessi devono essere sottoposti a scansione alla ricerca di software dannoso.

Tieni presente che la ricezione di una richiesta di riscatto non mette fine a un attacco Phobos: il ransomware continuerà a rilevare le modifiche al dispositivo e infettare nuovi file anche senza una connessione Internet.

Utilizza strumenti di sicurezza per rimuovere il software dannoso

A seconda del tipo di ransomware, esistono diversi metodi di rimozione. In alcuni casi, il ransomware si eliminerà autonomamente per rendere più difficile identificare il tipo di attacco e individuare una chiave di decriptaggio, se disponibile. In altri casi, il file verrà mantenuto e sarà necessario uno strumento di rimozione per pulire il sistema.

Le soluzioni di sicurezza informatica Avast per piccole aziende sono in grado di identificare e rimuovere molti tipi diversi di ransomware, proteggendo i dispositivi dagli attacchi futuri.

Esegui il ripristino dei dati da un backup

Se hai creato backup periodici, dovresti essere in grado di recuperare in modo sicuro i dati aziendali una volta rimosso il ransomware.

Senza un backup e senza la disponibilità di una chiave di decriptaggio, non esistono soluzioni per il recupero da un attacco Phobos. In questa situazione, tutto quello che si può fare è eseguire il backup di tutti i file a cui è possibile accedere fino a quando non diventa pubblicamente disponibile una chiave.

Non è consigliabile effettuare il pagamento del riscatto. Non solo i pagamenti incoraggeranno ulteriori attacchi, ma non vi è alcuna garanzia che il criminale informatico restituirà i file.

Denuncia l'attacco alle autorità

I criminali informatici dovrebbero essere segnalati alle autorità in modo da poter registrare le tendenze degli attacchi. Negli Stati Uniti gli incidenti ransomware possono essere segnalati alla Cyberstructure & Infrastructure Security Agency (CISA) attraverso un apposito strumento di segnalazione. Nel Regno Unito i crimini informatici possono essere segnalati ad Action Fraud.

Assicura la protezione da Phobos con le soluzioni di sicurezza informatica Avast per piccole aziende

Poiché non è ancora possibile eseguire il decriptaggio dei dati criptati da Phobos, la sicurezza della tua azienda e dei relativi dati dipende dall'esecuzione di backup periodici e dalla capacità di impedire al ransomware di raggiungere i dispositivi.

Le soluzioni di sicurezza informatica Avast per piccole aziende consentono di proteggere gli utenti da Phobos, WannaCry e molti altri tipi di malware. Scegli il livello di protezione richiesto per le tue specifiche esigenze e mantieni i tuoi dispositivi e la tua rete protetti dagli attacchi informatici.

Proteggi la tua azienda con le soluzioni Avast Business
Chiudi

Ancora qualche istante...

Completa l'installazione facendo clic sul file scaricato, quindi segui le istruzioni.

Avvio del download in corso...
Nota: se il download non viene avviato automaticamente, fai clic qui.
Fai clic su questo file per avviare l'installazione del prodotto Avast.
Italia
Per privati
Per aziende
Per i partner
Azienda
© 2024 Gen Digital Inc. Tutti i diritti riservati.
Informativa sulla privacy Informativa sui prodotti Informazioni legali Segnala vulnerabilità Contatta la sicurezza Informativa sulla schiavitù moderna Dettagli abbonamento