
Depuis mi-décembre de l'année dernière, un groupe de cybercriminels à l'origine d'une série d'attaques par rançon de logiciels malveillants distribue une nouvelle forme de maliciel de cryptage de fichiers qui combine deux variantes bien connues et efficaces dans une série d'attaques contre des entreprises dans le monde entier. Le logiciel de rançon, surnommé Phobos par créateurs, présente des similitudes techniques et opérationnelles avec plusieurs variantes du Dharma. Comme Dharma, Phobos exploite les ports RDP ouverts ou mal sécurisés pour se faufiler à l'intérieur des réseaux et exécuter une attaque de rançon, chiffrer les fichiers et exiger une rançon à payer en bitcoin pour retourner les fichiers, qui dans ce cas sont verrouillés avec une extension .phobos.
À part l'ajout des logos de 'Phobos' à la demande de rançon, c'est exactement la même que la note utilisée par Dharma, avec la même police de caractères et le même texte. « La plupart des logiciels de rançon laissent une demande de rançon évidente afin que la victime puisse la trouver et contacter le pirate. Généralement, ces notes varient considérablement en fonction de la souche du logiciel de rançon. Cependant, Dharma et Phobos utilisent la même demande de rançon. La seule différence visible est que Phobos a ajouté son logo en haut et en bas. Phobos Ransomware Note est similaire à une Note du Dharma », indique Coveware, une entreprise qui aide les clients à mieux comprendre les particularités associées à certaines souches de ransomware.
Phobos n'est que légèrement différent du Dharma. Cependant, d'un point de vue technique, Phobos présente quelques différences subtiles par rapport aux variantes actives du dharma. Les deux types de logiciels de rançon tirent leurs limites de la famille de logiciels de rançon Crysis et les outils d'antivirus couramment utilisés identifient un échantillon exécutable de Phobos comme Crysis, précise Coveware. « Les différences observées dans une analyse récente de @Demonslay335 indiquent que la structure des marqueurs de fichiers de Phobos est significativement différente de celle des variantes du Dharma. Ce qui est clair, c'est que même si le type de logiciel de rançon peut être différent, le groupe qui distribue Phobos, les méthodes d'exploitation, les notes de rançon et les communications restent presque identiques au Dharma », explique Coveware.
Source : Coveware
Et vous ?

Voir aussi



Vous avez lu gratuitement 486 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.