El ransomware Makop, una variante del ransomware Phobos, se ha estado expandiendo a través de su programa de afiliados, RaaS (Ransomware as a Service), una táctica que pretende buscar socios para llevar a cabo los ataques cobrando únicamente una comisión sobre el valor del rescate. Con esta táctica se pretende expandir los ataques dando notoriedad al grupo.
Phobos, llamado así por el dios griego del temor y el horror, es un tipo de ransomware con estrechos vínculos con otros dos tipos de malware famosos por su estructura y enfoque: Crysis y Dharma. Crysis se identificó por primera vez en 2016 y se hizo popular cuando su código fuente se publicó en línea. Tras la creación de las claves de descifrado de Crysis, los ciberdelincuentes actualizaron el código para crear Dharma. Del mismo modo, cuando se desarrollaron herramientas de descifrado contra Dharma, el ransomware volvió a evolucionar. Y, esta versión, se conoce como Phobos desde 2018.
Originalmente, el principal objetivo de este grupo delictivo han sido las empresas de Asia, pero últimamente se han encontrado variantes en Europa y América Latina funcionando con distintos nombres. Los principales objetivos del grupo son empresas de fabricación, educación, medios de comunicación, tecnología, construcción, farmacéuticas, jurídicas, de ingeniería y defensa.
El grupo utiliza campañas de correo electrónico de spam y phishing y estos correos contienen formularios de empleo y materiales relacionados con la infracción de derechos de autor. El ransomware se descarga a través de archivos ZIP y, una vez instalado por el usuario, desactiva todos los programas que podrían detenerlo y comienza el proceso de cifrado, y una vez instalado por el usuario, desactiva todos los programas que podrían detenerlo y comienza el proceso de cifrado.
Al final del proceso se deja un archivo de escritorio con el nombre «readme-warning.txt». Este documento contiene las demandas del grupo y las formas en que la víctima puede contactar con ellos.
Phobos (y sus herederos) utilizan el AES-256 y RSA-1024. Los datos se cifran con AES, mientras que la clave privada utilizada para el descifrado se cifra con RSA. A continuación, los archivos se renombran con una extensión que contiene: un número de ID, una dirección de email y una extensión, que es una palabra aparentemente aleatoria o puede indicar el nombre del grupo delictivo, por ejemplo:
- .vassago (Petrovic, Mar 2, 2021)
- .dark (dnwls0719, Apr 2, 2021)
- .mkp (dnwls0719, Dec 3, 2021)
- .factfull (GrujaRS, Jan 20, 2022)
- .phmqdw (PCrisk, Apr 12, 2022)
Para demostrar que el grupo tiene la clave de descifrado, descifran dos archivos de forma gratuita, pero con algunas condiciones, como que no contengan información valiosa para la empresa y que además no supere 1 MB de tamaño.
Fuente y redacción: segu-info.com.ar