#랜섬웨어 차단: 포보스 랜섬웨어

포보스 랜섬웨어는 2019년 5월부터 주, 지방, 부족 및 영토 정부와 중요 인프라 엔티티를 표적으로 삼고 있는 랜섬웨어-서비스-모델(RaaS)입니다. 포보스 악용자는 피싱 캠페인, IP 스캔 툴 및 노출된 RDP 포트에 대한 무차별 대입 공격을 사용하여 취약한 네트워크에 초기 액세스를 얻습니다. 또한 Smokeloader, Cobalt Strike 및 Bloodhound와 같은 다양한 오픈 소스 툴을 사용하여 손상된 환경 내에서 지속성과 권한 상승을 유지합니다. Elking, Eight, Devos, Backmydata 및 Faust와 같은 포보스 랜섬웨어 변종은 포보스와 유사한 전술, 기술 및 절차(TTP)를 사용하여 포보스 침입과 연결되었습니다. 이 랜섬웨어는 볼륨 섀도우 복사본을 삭제하고, Windows 방화벽을 비활성화하고, 시스템의 부팅 상태 정책을 모든 실패를 무시하도록 설정하는 명령을 사용합니다. 또한 시스템의 백업 카탈로그를 삭제하고 최종 사용자에게 랜섬 노트를 표시합니다. 포보스 악용자는 통신 및 데이터 유출에 다양한 이메일 제공업체를 사용하며, 피해자 목록을 작성하고 도난당한 데이터를 양파 사이트에 호스팅하는 것으로 알려져 있습니다.