#StopRansomware : Phobos Ransomware

Le ransomware Phobos, un modèle de ransomware-as-a-service (RaaS), a été observé ciblant les gouvernements d'État, locaux, tribaux et territoriaux, ainsi que les entités d'infrastructure critique, depuis mai 2019. Les acteurs de Phobos utilisent des campagnes de phishing, des outils de scan IP et des attaques de force brute sur les ports RDP exposés pour accéder initialement aux réseaux vulnérables. Ils utilisent également divers outils open source tels que Smokeloader, Cobalt Strike et Bloodhound pour maintenir la persistance et accroître les privilèges dans les environnements compromis. Les variantes de ransomware Phobos, y compris Elking, Eight, Devos, Backmydata et Faust, ont été liées à Phobos en raison de TTP similaires observés dans les intrusions de Phobos. Le ransomware utilise des commandes pour supprimer les copies d'ombre de volume, désactiver le pare-feu Windows et définir la politique de démarrage du système pour ignorer tous les échecs. Il supprime également le catalogue de sauvegarde du système et affiche une note de rançon à l'utilisateur final. Les acteurs de Phobos utilisent divers fournisseurs d'email pour la communication et l'exfiltration, et ils ont été connus pour lister les victimes et héberger des données volées sur des sites onion.