Une nouvelle variante du ransomware Phobos encadre le populaire collectif de partage de logiciels malveillants VX-Underground, indiquant que le groupe est à l’origine d’attaques utilisant le chiffreur.

Phobos a été lancé en 2018 dans ce que l’on pense être un ransomware-as-a-service dérivé de la famille de ransomwares Crysis. Dans le cadre de cette opération, un groupe d’acteurs menaçants gère le développement du ransomware et détient la clé principale de déchiffrement, tandis que d’autres acteurs menaçants agissent en tant qu’affiliés pour pirater les réseaux et chiffrer les appareils.

Bien que Phobos existe depuis longtemps, il n’a jamais évolué vers une opération « d’élite » connue pour mener des attaques massives et exiger des millions de dollars.

Cependant, cela ne signifie pas qu’il ne s’agit pas d’une opération de grande envergure, car elle est largement diffusée auprès de nombreux acteurs malveillants affiliés et représente 4 % de toutes les soumissions au service ID Ransomware en 2023.

Soumissions de Phobos à ID Ransomware au cours du mois dernier

Cadrage VX
Aujourd’hui, le chasseur de ransomware PCrisk a découvert une nouvelle variante du ransomware Phobos qui tente d’encadrer la communauté VX-Underground.

Lors du cryptage des fichiers, le malware ajoutera la chaîne .id[[unique_id].[[email protected]].VXUG, l’e-mail étant légitime et l’extension finale « VXUG », signifiant VX-Underground.

Fichiers cryptés par la variante « VX-Underground » de Phobos

Une fois terminé, Phobos créera deux notes de rançon sur le bureau Windows et ailleurs.

Le premier est une demande de rançon textuelle intitulée « Acheter Black Mass Volume II.txt », qui se moque de VX en disant que le mot de passe de décryptage n’est pas « infecté », le mot de passe utilisé sur toutes les archives de logiciels malveillants de VX.

« !!! Tous vos fichiers sont cryptés !!!
Pour les décrypter envoyez un e-mail à cette adresse : [email protected].
Si nous ne répondons pas dans les 48h, envoyez un message à ce twitter : @vxunderground
et non le mot de passe de décryptage n’est pas « infecté » »

Demande de rançon par SMS

Le second est un fichier HTA nommé « Acheter Black Mass Volume II.hta », votre demande de rançon Phobos standard personnalisée pour utiliser le logo, le nom et les coordonnées de VX-Underground. Black Mass sont des livres écrits par le VX-Underground et vendus sur Amazon.

Note de rançon HTA prétendant provenir de VX-Underground

Regarder les observateurs
À l’instar des chercheurs en sécurité, les auteurs de menaces sont impliqués dans les communautés de sécurité de l’information et de cybersécurité en ligne, participant activement aux discussions ou observant tranquillement les événements en marge. Cette surveillance, cependant, a conduit à des railleries similaires ajoutées aux logiciels malveillants et aux ransomwares dans le passé.

Par exemple, lorsque le précurseur de REvil, GandCrab, a été publié, les acteurs de la menace ont nommé leurs serveurs de commande et de contrôle d’après Breachtrace, Emsisoft, ESET et NoMoreRansom.

Bien qu’il s’agisse d’une raillerie bon enfant de la part des personnes impliquées dans la surveillance et la recherche sur les ransomwares, d’autres exemples ont pris une tournure plus sombre.

En 2016, le développeur du ransomware Apocalypse a commencé à intégrer des commentaires abusifs sur l’expert en ransomware Fabian Wosar dans ses chiffreurs « Fabiansomware », frustré par le fait que Wosar ne cessait de trouver des faiblesses dans le chiffrement.

En 2020, un développeur du ransomware Maze a créé un effaceur de données/MBR Locker nommé d’après le regretté chercheur en sécurité Vitali Kremez et Sentinel One.

Le développeur de Maze a déclaré à Breachtrace, lorsqu’il a publié les clés de décryptage, qu’il avait distribué l’essuie-glace pour ennuyer Kremez, qui a publié des tweets négatifs sur l’opération du ransomware.

Plus récemment, un ransomware connu sous le nom de « Azov Ransomware » a été largement distribué via des logiciels piratés, des générateurs de clés et des ensembles de logiciels publicitaires dans le monde entier.

Ce ransomware prétendait avoir été créé par moi-même, Breachtrace, Hasherazade, MalwareHunterTeam, Michael Gillespie et Vitali Kremez, disant aux victimes de nous contacter pour obtenir une clé de décryptage.

Pour ceux qui interagissent avec les développeurs de logiciels malveillants, vous courez toujours le risque d’être inclus dans l’un de leurs projets.

Bien que les railleries soient généralement de bonne humeur, dans certains cas, comme nous l’avons vu avec Azov et le Kremez Wiper, elles peuvent devenir un peu méchantes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *