El
ransomware Makop, una variante del ransomware Phobos, se ha estado expandiendo a través de su
programa de afiliados, RaaS (Ransomware as a Service), una táctica que
pretende buscar socios para llevar a cabo los ataques cobrando únicamente una
comisión sobre el valor del rescate. Con esta táctica se pretende expandir los
ataques dando notoriedad al grupo.
Phobos, llamado así por el dios griego del temor y el horror, es un tipo de
ransomware con estrechos vínculos con otros dos tipos de malware famosos por
su estructura y enfoque: Crysis y Dharma. Crysis se identificó por primera vez
en 2016 y se hizo popular cuando su código fuente se publicó en línea. Tras la
creación de las claves de descifrado de Crysis, los ciberdelincuentes
actualizaron el código para crear Dharma. Del mismo modo, cuando se
desarrollaron herramientas de descifrado contra Dharma, el ransomware volvió a
evolucionar. Y, esta versión, se conoce como Phobos desde 2018.
Originalmente, el principal objetivo de este grupo delictivo han sido las
empresas de Asia, pero últimamente se han encontrado variantes en
Europa y América Latina funcionando con distintos nombres. Los principales objetivos del grupo son empresas de
fabricación, educación, medios de comunicación, tecnología, construcción,
farmacéuticas, jurídicas, de ingeniería y defensa.
El grupo utiliza campañas de correo electrónico de spam y phishing y estos
correos contienen formularios de empleo y materiales relacionados con la
infracción de derechos de autor. El ransomware se descarga a través de
archivos ZIP y,
una vez instalado por el usuario, desactiva todos los programas que podrían detenerlo y comienza el proceso
de cifrado.
Al final del proceso se deja un archivo de escritorio con el nombre
"readme-warning.txt". Este documento contiene las demandas del grupo y
las formas en que la víctima puede contactar con ellos.
Phobos (y sus herederos) utilizan el AES-256 y RSA-1024. Los datos se cifran
con AES, mientras que la clave privada utilizada para el descifrado se cifra
con RSA. A continuación, los archivos se renombran con una extensión que
contiene: un número de ID, una dirección de email y una extensión, que es una
palabra aparentemente aleatoria o puede indicar el nombre del grupo delictivo,
por ejemplo:
.vassago (Petrovic, Mar 2, 2021)
.dark (dnwls0719, Apr 2, 2021)
.mkp (dnwls0719, Dec 3, 2021)
.factfull (GrujaRS, Jan 20, 2022)
.phmqdw (PCrisk, Apr 12, 2022)
Para demostrar que el grupo tiene la clave de descifrado,
descifran dos archivos de forma gratuita, pero con algunas condiciones,
como que no contengan información valiosa para la empresa y que además
no supere 1 MB de tamaño.
Fuente: https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-287a
