Вредоносный загрузчик SmokeLoader открывает новые пути заражения вымогателем Phobos

Недавнее исследование Cisco Talos, состоящее из двух частей ( первая , вторая ) пролило свет на киберпреступников, стоящих за программой-вымогателем 8Base, которые в данный момент используют вариации вымогательского ПО Phobos в рамках финансово мотивированных атак.

Специалисты отметили, что распространение Phobos осуществляется через SmokeLoader, троянский бэкдор, который загружает зашифрованные полезные нагрузки, дешифрует их и активирует компонент программы-вымогателя.

Фокус на 8Base возник в середине 2023 года, когда сообщество кибербезопасности уже наблюдало схожий рост активности. Исследователи из Carbon Black, подразделения VMware, в июне 2023 года выявили сходства между 8Base и RansomHouse, а также выявили использование расширения «.8base» для зашифрованных файлов в вымогателе Phobos.

Новые данные Cisco Talos указывают на то, что SmokeLoader используется как платформа для загрузки и активации Phobos, который затем осуществляет шаги по установлению постоянства в системе, остановке процессов, отключению системного восстановления и удалению резервных копий.

Примечательной особенностью вредоноса является полное шифрование файлов размером менее 1.5 МБ и частичное шифрование файлов свыше этого порога для ускорения процесса.

Исследователи отдельно отметили, что во всех проанализированных образцах Phobos, начиная с 2019 года, используется один и тот же RSA-ключ для защиты ключей шифрования файлов. Это позволяет предположить, что обладание таким ключом даст возможность расшифровки любых данных, зашифрованных этими образцами.

В целом, Phobos демонстрирует типичные для вымогателей возможности по шифрованию файлов на локальных и сетевых дисках. Группа 8Base часто использует украденные учётные данные и инструмент удалённого доступа AnyDesk для распространения вредоносного ПО и последующего шифрования файлов на заражённых машинах.

Анализ исходного кода Phobos показал, что с 2020 года он практически не менялся. Основные изменения произошли в 2019 году, когда была добавлена поддержка отладочных файлов и отправки отчётов о заражении. Тем не менее, от развёртывания к развёртыванию вымогателя его конфигурация обычно немного меняется.

Phobos впервые появился в 2019 году и, по сути, являлся на тот момент логическим продолжением другого вымогателя — Dharma (он же Crysis). Cisco Talos считает, что сейчас Phobos распространяется по RaaS-модели, что подтверждается большим количеством используемых электронных адресов и мессенджеров. Каждый проанализированный образец Phobos содержал уникальные контакты для связи с хакерами.

Эксперты Talos полагают, что результаты их исследования помогут лучше понять методы работы преступных групп, использующих Phobos, а также разработать эффективные средства противодействия этому вымогательскому ПО.