PHOBOS ランサムウェア

ransomware-2320793_1920

はじめに

Phobosと言うランサムウェアが、最初に見つかったのは、2018年、リモートデスクトッププロトコル(RDP)の脆弱性をつき、安全対策が不十分なRDPクレデンシャルによって配布されていました。
Phobosランサムウェアが関与する攻撃は、頻繁で、多くの国の中小規模の組織を標的にしていると記録されています。
Phobosランサムウェアの亜種・変異型には復号プログラムはなく、平均身代金要求額は38,100ドルで、ランサムウェアのノートに記載されたEメールアドレス経由で支払うことができます。

手口

1. 初期アクセス

脅威アクターはリモートデスクトッププロトコル(RDP)サービスの脆弱性をTCPポート3389番を使ってつき、ブルートフォース攻撃でパスワードを取得してコンピュータへのアクセスを得て侵入します。Phobosはフィッシングメールの悪意ある添付として配布されたケースも記録されています。

2. インストール

ハッカーが感染したサーバにリモートからアクセスができた後、ペイロードが感染したサーバにダウンロードされ、Phobosはパッカープログラムによりメモリへ解凍されます。その後、Phobosは自らをシステムレジストリに自動実行アイテムとして追加し、Startupフォルダと%APPDATA%に自らをインストールします。そして管理者権限を使って実行されます。
Phobosはシャドウコピーがないか、ネットワークをスキャンし、もし見つかれば全て削除し、被害者が暗号化されたファイルを復元できないことを確実にします。また、あらかじめ定義されたサービスとプロセスの名前のリストから、ウィルス対策、データベース、バックアップ、ドキュメント編集ソフトウェアに関するプロセスは終了し、サービスは止めます。

3. 暗号化

Phobosが実行されるとき、AES-256とRSA-1024非対称暗号アルゴリズムとともにWindows Crypto API経由で感染したマシン上のファイルの暗号化を開始します。あらかじめインストールされているWindows機能を使用するため、ハードコードされた公開鍵がついているので、Phobosはインターネットへの接続を必要とせずにファイルを暗号化できます。

コマンド&コントロール

攻撃中、Phobosは攻撃目標のネットワークの初期偵察でスキャンした結果をC&Cサーバに送り、これにより初期ランサムがどれくらいかを判断するのに用いられます。