
2024年8月 トレンドマイクロの2024年第1四半期ランサムウェア脅威動向でPHOBOSが浮上している事が指摘されています。今回はランサムウェア「Phobos」について 事例を交えて解説します。
11月20日追記: ランサムウェア攻撃グループ「Phobos」管理者であるロシア国籍のEvgenii Ptitsyn(エフゲニー・プティツィン)氏 42歳が逮捕されました。
目次
ランサムウェア「Phobos」とは
ランサムウェア「Phobos」はリモートデスクトッププロトコル(RDP)を介してシステムに侵入し、データを暗号化して身代金を要求するランサムウェアです。
主に中小企業が標的とされ、被害者はデータを取り戻すために多額の費用を支払うか、データを失うリスクに直面します。このランサムウェアは、ファイル名に特定の拡張子を追加し、復旧に必要な鍵の提供を条件に身代金を要求するメッセージを表示します。
LockBit(ロックビット)や BlackSuit(ブラックスーツ)などのランサムウェア攻撃を行う集団は、自グループの功績を広めるため同グループと同じ名称のランサムウェアを利用しますが、「Phobos」はあくまでランサムウェアの名称に留まっています。
ランサムウェア「Phobos」の感染経路
ランサムウェア「Phobos」の感染経路は以下です。
・フィッシングメール
・セキュリティが甘いリモートデスクトッププロトコル(RDP)
・各種OSやソフトの脆弱性の悪用
他のランサムウェアとの関連性
2017年に特定されたランサムウェア「Dharma」と Phobos はコードの点では非常に似ており、RaaSで簡単に利用できる事から人気があります。
どちらも、Microsoft の RDP 通信プロトコルの脆弱性を利用するため、Windows システムをターゲットに設計されています。
RaaSで運用されている
「Phobos」はダークウェブ上でSaaSのようにサイバー攻撃を行うサービスであるRaaSで運用されており、世界的に業種や国を問わず広範囲に配布されています。
ランサムウェア「Phobos」の事例
株式会社ヒロケイのインシデントで利用されたランサムウェアが「Phobos(フォボス)」であることが明記されております。
なお同社の取引先である複数の健康保険組合が、同社経由での情報漏洩を発表しています。
ランサムウェア「Phobos」の対策
対策としては、一般的なセキュリティ対策と同様で
・RDPの使用制限
・強力なパスワードの設定
・定期的なデータのバックアップ
上記が推奨されています。
Phobos ランサムウェアの侵害指標 (IoC)
Cybersec SentinelによるとPhobos ランサムウェアの侵害指標 (IoC)は以下になります。
ドメイン:
adstat477d[.]xyz
demstat577d[.]xyz
serverxlogs21[.]xyz
mslogger78[.]xyz
syscheck-log[.]xyz
IP アドレス:
194.165.16[.]4
(2023年10月)45.9.74[.]14
(2023年12月)147.78.47[.]224
(2023年12月)185.202.0[.]111
(2023年9月と12月)
メールアドレス:
メールアドレス1 | メールアドレス2 | メールアドレス3 |
---|---|---|
AlbetPattisson1981@protonmail[.]com |
henryk@onionmail[.]org |
atomicday@tuta[.]io |
info@fobos[.]one |
axdus@tuta[.]io |
it.issues.solving@outlook[.]com |
barenuckles@tutanota[.]com |
JohnWilliams1887@gmx[.]com |
Bernard.bunyan@aol[.]com |
jonson_eight@gmx[.]us |
bill.g@gmx[.]com |
joshuabernandead@gmx[.]com |
bill.g@msgsafe[.]io |
LettoIntago@onionmail[.]com |
bill.g@onionmail[.]org |
Luiza.li@tutanota[.]com |
bill.gTeam@gmx[.]com |
MatheusCosta0194@gmx[.]com |
blair_lockyer@aol[.]com |
mccreight.ellery@tutanota[.]com |
CarlJohnson1948@gmx[.]com |
megaport@tuta[.]io |
cashonlycash@gmx[.]com |
miadowson@tuta[.]io |
chocolate_muffin@tutanota[.]com |
MichaelWayne1973@tutanota[.]com |
claredrinkall@aol[.]com |
normanbaker1929@gmx[.]com |
clausmeyer070@cock[.]li |
nud_satanakia@keemail[.]me |
colexpro@keemail[.]me |
please@countermail[.]com |
cox.barthel@aol[.]com |
precorpman@onionmail[.]org |
crashonlycash@gmx[.]com |
recovery2021@inboxhub[.]net |
everymoment@tuta[.]io |
recovery2021@onionmail[.]org |
expertbox@tuta[.]io |
SamuelWhite1821@tutanota[.]com |
fastway@tuta[.]io |
SaraConor@gmx[.]com |
fquatela@techie[.]com |
secdatltd@gmx[.]com |
fredmoneco@tutanota[.]com |
skymix@tuta[.]io |
getdata@gmx[.]com |
sory@countermail[.]com |
greenbookBTC@gmx[.]com |
spacegroup@tuta[.]io |
greenbookBTC@protonmail[.]com |
stafordpalin@protonmail[.]com |
helperfiles@gmx[.]com |
starcomp@keemail[.]me |
helpermail@onionmail[.]org |
xdone@tutamail[.]com |
helpfiles@onionmail[.]org |
xgen@tuta[.]io |
helpfiles102030@inboxhub[.]net |
xspacegroup@protonmail[.]com |
helpforyou@gmx[.]com |
zgen@tuta[.]io |
helpforyou@onionmail[.]org |
zodiacx@tuta[.]io |
引用
What is Phobos Ransomware and how to remove it