#StopRansomware: Phobos Ransomware

Рansomware Phobos, работающий по модели Ransomware-as-a-Service (RaaS), начал атаковать государственные, местные, племенные и территориальные правительства, а также объекты критической инфраструктуры, начиная с мая 2019 года. Акторы Phobos используют фишинговые кампании, инструменты сканирования IP-адресов и атаки методом грубой силы на открытые порты RDP для получения начального доступа к уязвимым сетям. Они также используют разные открытые инструменты, такие как Smokeloader, Cobalt Strike и Bloodhound, чтобы поддерживать устойчивость и повышать привилегии в захваченных средах. Варианты ransomware Phobos, включая Elking, Eight, Devos, Backmydata и Faust, связаны с Phobos из-за схожих тактик, методов и процедур (TTP), наблюдаемых в инцидентах с Phobos. Ransomware использует команды для удаления теневых копий томов, отключения брандмауэра Windows и установки политики загрузки системы на игнорирование всех неудач. Кроме того, он удаляет каталог резервных копий системы и отображает требование выкупа для конечного пользователя. Акторы Phobos используют разные провайдеры электронной почты для общения и эксфильтрации, и они известны тем, что перечисляют жертв и хранят украденные данные на onion-сайтах.