ランサムウェア「Phobos」とは 事例を交えて解説

セキュリティニュース

投稿日時: 更新日時:

ランサムウェア「Phobos」とは 事例を交えて解説

2024年8月 トレンドマイクロの2024年第1四半期ランサムウェア脅威動向でPHOBOSが浮上している事が指摘されています。今回はランサムウェア「Phobos」について 事例を交えて解説します。

11月20日追記: ランサムウェア攻撃グループ「Phobos」管理者であるロシア国籍のEvgenii Ptitsyn(エフゲニー・プティツィン)氏 42歳が逮捕されました。

ランサムウェア「Phobos」とは

ランサムウェア「Phobos」はリモートデスクトッププロトコル(RDP)を介してシステムに侵入し、データを暗号化して身代金を要求するランサムウェアです。

主に中小企業が標的とされ、被害者はデータを取り戻すために多額の費用を支払うか、データを失うリスクに直面します。このランサムウェアは、ファイル名に特定の拡張子を追加し、復旧に必要な鍵の提供を条件に身代金を要求するメッセージを表示します。

LockBit(ロックビット) BlackSuit(ブラックスーツ)などのランサムウェア攻撃を行う集団は、自グループの功績を広めるため同グループと同じ名称のランサムウェアを利用しますが、「Phobos」はあくまでランサムウェアの名称に留まっています。

ランサムウェア「Phobos」の感染経路

ランサムウェア「Phobos」の感染経路は以下です。

・フィッシングメール

・セキュリティが甘いリモートデスクトッププロトコル(RDP)

・各種OSやソフトの脆弱性の悪用

他のランサムウェアとの関連性

2017年に特定されたランサムウェア「Dharma」と Phobos はコードの点では非常に似ており、RaaSで簡単に利用できる事から人気があります。

どちらも、Microsoft の RDP 通信プロトコルの脆弱性を利用するため、Windows システムをターゲットに設計されています。

RaaSで運用されている

「Phobos」はダークウェブ上でSaaSのようにサイバー攻撃を行うサービスであるRaaSで運用されており、世界的に業種や国を問わず広範囲に配布されています。

ランサムウェア「Phobos」の事例

株式会社ヒロケイのインシデントで利用されたランサムウェアが「Phobos(フォボス)」であることが明記されております。

なお同社の取引先である複数の健康保険組合が、同社経由での情報漏洩を発表しています。

ランサムウェア「Phobos」の対策

対策としては、一般的なセキュリティ対策と同様で

・RDPの使用制限

・強力なパスワードの設定

2要素認証や多要素認証(MFA)の導入

・定期的なデータのバックアップ

上記が推奨されています。

Phobos ランサムウェアの侵害指標 (IoC)

Cybersec SentinelによるとPhobos ランサムウェアの侵害指標 (IoC)は以下になります。

ドメイン:

  • adstat477d[.]xyz
  • demstat577d[.]xyz
  • serverxlogs21[.]xyz
  • mslogger78[.]xyz
  • syscheck-log[.]xyz

IP アドレス:

  • 194.165.16[.]4(2023年10月)
  • 45.9.74[.]14(2023年12月)
  • 147.78.47[.]224(2023年12月)
  • 185.202.0[.]111(2023年9月と12月)

メールアドレス:

メールアドレス1 メールアドレス2 メールアドレス3
AlbetPattisson1981@protonmail[.]com henryk@onionmail[.]org atomicday@tuta[.]io
info@fobos[.]one axdus@tuta[.]io it.issues.solving@outlook[.]com
barenuckles@tutanota[.]com JohnWilliams1887@gmx[.]com Bernard.bunyan@aol[.]com
jonson_eight@gmx[.]us bill.g@gmx[.]com joshuabernandead@gmx[.]com
bill.g@msgsafe[.]io LettoIntago@onionmail[.]com bill.g@onionmail[.]org
Luiza.li@tutanota[.]com bill.gTeam@gmx[.]com MatheusCosta0194@gmx[.]com
blair_lockyer@aol[.]com mccreight.ellery@tutanota[.]com CarlJohnson1948@gmx[.]com
megaport@tuta[.]io cashonlycash@gmx[.]com miadowson@tuta[.]io
chocolate_muffin@tutanota[.]com MichaelWayne1973@tutanota[.]com claredrinkall@aol[.]com
normanbaker1929@gmx[.]com clausmeyer070@cock[.]li nud_satanakia@keemail[.]me
colexpro@keemail[.]me please@countermail[.]com cox.barthel@aol[.]com
precorpman@onionmail[.]org crashonlycash@gmx[.]com recovery2021@inboxhub[.]net
everymoment@tuta[.]io recovery2021@onionmail[.]org expertbox@tuta[.]io
SamuelWhite1821@tutanota[.]com fastway@tuta[.]io SaraConor@gmx[.]com
fquatela@techie[.]com secdatltd@gmx[.]com fredmoneco@tutanota[.]com
skymix@tuta[.]io getdata@gmx[.]com sory@countermail[.]com
greenbookBTC@gmx[.]com spacegroup@tuta[.]io greenbookBTC@protonmail[.]com
stafordpalin@protonmail[.]com helperfiles@gmx[.]com starcomp@keemail[.]me
helpermail@onionmail[.]org xdone@tutamail[.]com helpfiles@onionmail[.]org
xgen@tuta[.]io helpfiles102030@inboxhub[.]net xspacegroup@protonmail[.]com
helpforyou@gmx[.]com zgen@tuta[.]io helpforyou@onionmail[.]org
zodiacx@tuta[.]io

引用

What is Phobos Ransomware and how to remove it

StopRansomware: Phobos Ransomware

Rising Phobos Ransomware Activity in High-Impact Sectors