Μια νέα μεταβλητή του Phobos ransomware αναφέρεται ότι συνδέεται με τη δημοφιλή κοινότητα κοινής χρήσης κακόβουλου λογισμικού VX-Underground, υποδηλώνοντας ότι η ομάδα είναι υπεύθυνη για επιθέσεις που χρησιμοποιούν τον encryptor.
Δείτε επίσης: Το Rhysida ransomware πίσω από την επίθεση στη Βρετανική Βιβλιοθήκη;
Το Phobos ξεκίνησε το 2018 και πιστεύεται ότι προέρχεται από την οικογένεια του ransomware Crysis, λειτουργώντας ως υπηρεσία ransomware-as-a-service. Στο πλαίσιο αυτής της λειτουργίας, μια ομάδα απειλητικών παραγόντων διαχειρίζεται την ανάπτυξη του ransomware και κατέχει τον μεταφραστικό κλειδί, ενώ άλλοι απειλητικοί παράγοντες ενεργούν ως συνεργάτες για να παραβιάσουν δίκτυα και να κρυπτογραφήσουν συσκευές.
Παρόλο που το Phobos υπάρχει εδώ και πολύ καιρό, δεν εξελίχθηκε ποτέ σε μια “ελίτ” λειτουργία που είναι γνωστή για τη διεξαγωγή μαζικών επιθέσεων και την απαίτηση εκατομμυρίων δολαρίων. Ωστόσο, αυτό δε σημαίνει ότι δεν είναι μια μεγάλη λειτουργία, καθώς έχει ευρεία διανομή μέσω πολλών συνδεδεμένων δραστών απειλής και αντιστοιχεί στο 4% όλων των υποβολών στην υπηρεσία ID Ransomware το 2023.
Πρόσφατα, ο κυνηγός ransomware PCrisk ανακάλυψε μια νέα παραλλαγή του ransomware Phobos που προσπαθεί να εμπλέξει την κοινότητα VX-Underground.
Όταν κρυπτογραφείτε αρχεία, το κακόβουλο λογισμικό θα προσθέσει τη συμβολοσειρά .id[[unique_id].[staff@vx-underground.org].VXUG, με το ηλεκτρονικό ταχυδρομείο να είναι νόμιμο και την τελική επέκταση ‘VXUG,’ να υποδεικνύει το VX-Underground. Όταν ολοκληρωθεί, το Phobos θα δημιουργήσει δύο σημειώματα λύτρων στην επιφάνεια εργασίας των Windows και αλλού.
Το πρώτο είναι ένα κείμενο αιτήματος λύτρων με το όνομα ‘Buy Black Mass Volume II.txt‘, λέγοντας ότι ο κωδικός αποκρυπτογράφησης δεν είναι “μολυσμένος”, ο κωδικός χρησιμοποιείται σε όλους τους αρχειοθετημένους κακόβουλους κώδικες VX.
Το δεύτερο αρχείο είναι ένα HTA με το όνομα ‘Buy Black Mass Volume II.hta‘, το οποίο αποτελεί μια συνηθισμένη απειλητική ειδοποίηση Phobos που έχει προσαρμοστεί ώστε να χρησιμοποιεί το λογότυπο, το όνομα και τις πληροφορίες επικοινωνίας του VX-Underground. Τα Black Mass είναι βιβλία που έχουν γραφτεί από το VX-Underground και πωλούνται στο Amazon.
Δείτε ακόμα: Yamaha Motor: Ransomware επίθεση οδήγησε σε παραβίαση δεδομένων εργαζομένων
Το VX-Underground είναι μία κοινότητα κακόβουλου λογισμικού που περιλαμβάνει μια ποικιλία διαφορετικών τύπων malware. Περιλαμβάνει ιούς, tojans, κατασκοπευτικά λογισμικά, ρουτίνες εκμετάλλευσης και πολλά άλλα. Οι δημιουργοί του VX-Underground είναι γνωστοί για την ανάπτυξη και διάδοση προηγμένων μορφών κακόβουλου λογισμικού.
Ένας από τους κοινούς τύπους κακόβουλου λογισμικού που βρίσκονται στο VX-Underground είναι οι ιοί. Οι ιοί είναι προγράμματα που αντιγράφονται και εξαπλώνονται από υπολογιστή σε υπολογιστή, προσκολλώντας τον εαυτό τους σε άλλα αρχεία ή προγράμματα. Οι ιοί μπορούν να προκαλέσουν καταστροφικές επιπτώσεις στον υπολογιστή του θύματος, όπως την καταστροφή αρχείων ή την απώλεια δεδομένων.
Ένας άλλος κοινός τύπος κακόβουλου λογισμικού που συναντάται στο VX-Underground είναι τα trojan. Τα trojan είναι προγράμματα που εκμεταλλεύονται αδυναμίες στο λογισμικό ή το λειτουργικό σύστημα του υπολογιστή για να αποκτήσουν πρόσβαση ή να προκαλέσουν ζημιά. Μπορούν να χρησιμοποιηθούν για να κλέψουν προσωπικά δεδομένα, να εγκαταστήσουν άλλο κακόβουλο λογισμικό ή να παρακολουθούν τη δραστηριότητα του χρήστη.
Το VX-Underground περιλαμβάνει επίσης κατασκοπευτικό λογισμικό. Το κατασκοπευτικό λογισμικό συλλέγει πληροφορίες χωρίς τη συναίνεση του χρήστη και τις αποστέλλει σε έναν απομακρυσμένο υπολογιστή. Αυτό μπορεί να περιλαμβάνει πληροφορίες προσωπικού χαρακτήρα, όπως κωδικούς πρόσβασης ή πιστωτικές κάρτες, και να αποτελέσει απειλή για την ιδιωτικότητα και την ασφάλεια του χρήστη.
Δείτε επίσης: Toyota: Η ransomware συμμορία Medusa απειλεί να διαρρεύσει δεδομένα
Τέλος, το VX-Underground περιλαμβάνει και ρουτίνες εκμετάλλευσης. Οι ρουτίνες εκμετάλλευσης είναι μικρά προγράμματα που εκμεταλλεύονται αδυναμίες στο λογισμικό ή το λειτουργικό σύστημα για να αποκτήσουν πρόσβαση σε έναν υπολογιστή. Αυτές οι ρουτίνες μπορούν να χρησιμοποιηθούν από επιτιθέμενους για να εισβάλουν σε ένα δίκτυο ή να εκτελέσουν κακόβουλες ενέργειες, όπως την κατάληψη ενός υπολογιστή ή την εγκατάσταση άλλου κακόβουλου λογισμικού.
Πηγή: bleepingcomputer
