Uma nova variante do ransomware Phobos enquadra o popular coletivo de compartilhamento de malware VX-Underground, indicando que o grupo está por trás dos ataques usando o encriptador.
Phobos foi lançado em 2018 no que se acredita ser um serviço de ransomware como serviço derivado da família de ransomware Crysis.
Como parte desta operação, um grupo de atores de ameaças gerencia o desenvolvimento do ransomware e mantém a chave mestra de descriptografia, enquanto outros atores de ameaças atuam como afiliados para violar redes e criptografar dispositivos.
Embora Phobos esteja por perto há muito tempo, nunca evoluiu para uma operação "elite" conhecida por conduzir ataques massivos e exigir milhões de dólares.
No entanto, isso não significa que não seja uma grande operação, pois vê uma ampla distribuição através de muitos atores de ameaças afiliados e representa 4% de todas as submissões para o serviço ID Ransomware em 2023.
Hoje, o caçador de ransomware PCrisk encontrou uma nova variante do ransomware Phobos que tenta enquadrar a comunidade VX-Underground.
Ao criptografar arquivos, o malware anexará a string .id[[unique_id].[[email protected]].VXUG, com o email sendo legítimo e a extensão final 'VXUG,' representando VX-Underground.
Ao terminar, Phobos criará duas notas de resgate na área de trabalho do Windows e em outros lugares.
O primeiro é uma nota de resgate de texto chamada 'Buy Black Mass Volume II.txt', que faz uma brincadeira com o VX dizendo que a senha de decodificação não é "infectada", a senha usada em todos os arquivos de malware VX.
"!!! Todos os seus arquivos estão criptografados !!!
Para descriptografa-los envie um e-mail para este endereço: [email protected].
Se não respondermos em 48h., envie mensagem para este twitter: @vxunderground
e não, a senha de decodificação não é "infectada""
A segunda é um arquivo HTA chamado 'Buy Black Mass Volume II.hta', sua nota de resgate Phobos padrão personalizada para utilizar o logo, nome e informações de contato do VX-Underground.
Black Mass são livros escritos pelo VX-Underground e vendidos na Amazon.
Assim como pesquisadores de segurança, atores de ameaças participam das comunidades online de segurança da informação e de cibersegurança, participando ativamente de discussões ou observando em silêncio dos bastidores.
Este monitoramento, no entanto, levou a que provocações semelhantes fossem adicionadas ao malware e ransomware no passado.
Por exemplo, quando o precursor do REvil, GandCrab, foi lançado, os atores de ameaças nomearam seus servidores de comando e controle após BleepingComputer, Emsisoft, ESET e NoMoreRansom.
Embora isso tenha sido uma provocação boa-natureza daqueles envolvidos no monitoramento e pesquisa de ransomware, outros exemplos tomaram um rumo mais sombrio.
Em 2016, o desenvolvedor do ransomware Apocalypse começou a incorporar comentários ofensivos sobre o especialista em ransomware Fabian Wosar em seus cripto-ransomwares 'Fabiansomware' por frustração que Wosar continuava encontrando fraquezas na criptografia.
Em 2020, um desenvolvedor do ransomware Maze criou um destruidor de dados/MBR Locker chamado após o falecido pesquisador de segurança Vitali Kremez e Sentinel One.
O desenvolvedor do Maze disse ao BleepingComputer quando eles liberaram as chaves de descriptografia que eles distribuíram o limpador para incomodar Kremez, que vinha postando tweets negativos sobre a operação de ransomware.
Recentemente, um ransomware conhecido como 'Azov Ransomware" foi fortemente distribuído através de software pirata, geradores de chave e pacotes de adware em todo o mundo.
Este ransomware alegou ter sido criado por mim, BleepingComputer, Hasherazade, MalwareHunterTeam, Michael Gillespie e Vitali Kremez, dizendo às vítimas para nos contatar para uma chave de decodificação.
Para aqueles que interagem com desenvolvedores de malware, você sempre corre o risco de ser incluído em um de seus projetos.
Embora a provocação seja em sua maioria boa-natureza, em alguns casos, como vimos com Azov e o Kremez Wiper, pode ficar um pouco desagradável.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...