Alestra CSIRT

Ransomware Phobos: Arrestos y Ataques en Sitios de 8base

Publicado hace 2 meses 24-02-2025

El operativo conjunto de fuerzas policiales, denominado “Phobos Aetor”, se llevó a cabo en cuatro ubicaciones distintas con gran éxito. Como resultado, se logró la confiscación de varios dispositivos electrónicos, incluidos laptops, smartphones y billeteras de criptomonedas. Además, se procedió al arresto de dos individuos vinculados al grupo de ransomware Phobos, ambos de origen ruso, quienes están acusados de extorsionar a sus víctimas por un total de 16 millones de dólares en Bitcoin. El operativo contó con la colaboración de diversas entidades internacionales, incluyendo fuerzas de seguridad de Tailandia, Rumania, Baviera (Alemania), Suiza, Japón, Estados Unidos, Europol, España, Francia, Bélgica, Reino Unido y la República Checa.

El grupo de ransomware Phobos apareció en 2019 y rápidamente ganó notoriedad, afectando a numerosas empresas y organizaciones a lo largo de los años. Desde sus inicios, Phobos operaba como un ransomware como servicio (RaaS), lo que contribuyó a su rápida expansión y al aumento de los ataques a organizaciones de todo el mundo. A lo largo del tiempo, surgieron varias variantes de este ransomware, como Elking, Eight, Devos, Backmydata y Faust. Phobos utiliza herramientas de código abierto, como Smokeloader, Cobalt Strike y BloodHound, para ejecutar sus ataques. Sin embargo, en 2024, el grupo perdió protagonismo, siendo superado por otras organizaciones más exitosas, como LockBit y RansomHub.

Además de los arrestos realizados a los integrantes del grupo de ransomware Phobos, también se llevó a cabo el cierre de sitios web vinculados a otro grupo de ransomware conocido como 8Base. En total, se desactivaron 27 servidores, lo que resultó en el cierre del sitio de filtraciones y la eliminación de toda la información almacenada en él. Asimismo, se colocó un mensaje en el sitio indicando que había sido cerrado. El mensaje que apareció explícitamente en el portal fue el siguiente:

"This hidden site and the criminal content have been seized by the Bavarian State Criminal Police Office on behalf of the Office."

(Este sitio web oculto y el contenido delictivo han sido confiscados por la Oficina de Policía Criminal del Estado de Baviera en nombre de la Oficina.)

Imagen del sitio de dado de baja en el operativo.

8base es también un grupo de ransomware que surgió en 2023, este tiene similitudes con Phobos ransomware y Ransomhouse por lo que no es extraño que se haya encontrado en la operación contra el primer grupo. La diferencia de este grupo es que se denominan mas como un grupo de Pentesting que de ransomware ya que dicen tener cierta moral y estar en la línea de lo que se considera hacking ético.

Taxonomía MITTRE ATT&CK:

Etapa	Técnica	ID
Reconnaissance	Search Open Websites/Domains	T1593
	Scanning IP Blocks	T1595.001
	Phishing for Information	T1598
Resource Development	Establish Accounts	T1585
	Obtain Capabilities: Tool	T1588.002
Initial Access	Valid Accounts	T1078
	External Remote Services	T1133
	Phishing: Spearphishing Attachment	T1566.001
Execution	Windows Management Instrumentation	T1047
	Windows Command Shell	T1059.003
	Native API	T1106
	Malicious File	T1204.002
Persistence	Registry Run Keys / Startup Folder	T1547.001
Privilege Escalation	Privilege Escalation	TA0004
	Portable Executable Injection	T1055.002
	Asynchronous Procedure Call	T1055.004
	Access Token Manipulation: Token Impersonation/Theft	T1134.001
	Create Process with Token	T1134.002
Defense Evasion	Software Packing	T1027.002
	Embedded Payloads	T1027.009
	Deobfuscate/Decode Files or Information	T1140
	System Binary Proxy Execution: Mshta	T1218.005
	Impair Defenses	T1562
	Disable or Modify System Firewall	T1562.004
Credential Access	OS Credential Dumping: LSASS Memory	T1003.001
	OS Credential Dumping: Cached Domain Credentials	T1003.005
	Brute Force	T1110
	Credentials from Password Stores	T1555
	Credentials from Password Stores: Credentials from Web Browsers	T1555.003
	Credentials from Password Stores: Password Managers	T1555.005
Discovery	Process Discovery	T1057
	System Information Discovery	T1082
	File and Directory Discovery	T1083
	Domain Account	T1087.002
Collection	Archive Collected Data	T1560
Command and Control	Data Obfuscation: Protocol Impersonation	T1001.003
	File Transfer Protocols	T1071.002
	Ingress Tool Transfer	T1105
	Remote Access Software	T1219
Exfiltration	Exfiltration	TA0010
	Exfiltration Over Alternative Protocol	T1048
	Exfiltration to Cloud Storage	T1567.002
Impact	Data Encrypted for Impact	T1486
	Inhibit System Recovery	T1490
	Financial Theft	T1657

Indicadores de Compromiso:

Tipo	IOC
FileHash-MD5	0900b61febed8da43708f6735ed6c11b
FileHash-MD5	20d9fa474fa2628a6abe5485d35ee7e0
FileHash-MD5	2809e15a3a54484e042fe65fffd17409
FileHash-MD5	62885d0f106569fac3985f72f0ca10cb
FileHash-MD5	69788b170956a5c58ebd77f7680fde7c
FileHash-MD5	9376f223d363e28054676bb6ef2c3e79
FileHash-MD5	a567048dd823ff2d395ddd95d1fa5302
FileHash-MD5	b119cdd3d02b60009b9ad39da799ed3b
FileHash-MD5	db74cd067d4a0562b26ea4f10e943e3b
FileHash-MD5	e59ffeaf7acb0c326e452fa30bb71a36
FileHash-MD5	ecdf7acb35e4268bcafb03b8af12f659
FileHash-MD5	fe2d1879880466e24e76d8d0963feb93
FileHash-SHA1	18ebb65842ccd3a1d1eeb597f2017267d47daaf9
FileHash-SHA1	33def89ad18a6c3dbaa4b5b5075a84a771157441
FileHash-SHA1	43683751209e85571072d953c0bdd44c883045ee
FileHash-SHA1	4a8f0331abaf8f629b3c8220f0d55339cfa30223
FileHash-SHA1	7332956debc4fb14a54d69b0b858bd5b04becac1
FileHash-SHA1	90b2cebbeb377480e321d8f38ea6de2fa661e437
FileHash-SHA1	93b0d892bd3fbb7d3d9efb69fffdc060159d4536
FileHash-SHA1	a28af73bcfd4ebe2fe29242c07fec15e0578ec8a
FileHash-SHA1	aed68cfa282ec2b0f8a681153beaebe3a17d04ee
FileHash-SHA1	b092a6bf7fb6755e095ed9f35147d1c6710cf2c4
FileHash-SHA1	c88fad293256bfead6962124394de4f8b97765aa
FileHash-SHA1	cb37b10b209ab38477d2e17f21cae12a1cb2adf0
FileHash-SHA256	0000599cbc6e5b0633c5a6261c79e4d3d81005c77845c6b0679d854884a8e02f
FileHash-SHA256	2704e269fb5cf9a02070a0ea07d82dc9d87f2cb95e60cb71d6c6d38b01869f66
FileHash-SHA256	32a674b59c3f9a45efde48368b4de7e0e76c19e06b2f18afb6638d1a080b2eb3
FileHash-SHA256	482754d66d01aa3579f007c2b3c3d0591865eb60ba60b9c28c66fe6f4ac53c52
FileHash-SHA256	518544e56e8ccee401ffa1b0a01a10ce23e49ec21ec441c6c7c3951b01c1b19c
FileHash-SHA256	58626a9bfb48cd30acd0d95debcaefd188ae794e1e0072c5bde8adae9bccafa6
FileHash-SHA256	7451be9b65b956ee667081e1141531514b1ec348e7081b5a9cd1308a98eec8f0
FileHash-SHA256	9215550ce3b164972413a329ab697012e909d543e8ac05d9901095016dd3fc6c
FileHash-SHA256	a91491f45b851a07f91ba5a200967921bf796d38677786de51a4a8fe5ddeafd2
FileHash-SHA256	c0539fd02ca0184925a932a9e926c681dc9c81b5de4624250f2dd885ca5c4763
FileHash-SHA256	f1425cff3d28afe5245459afa6d7985081bc6a62f86dce64c63daeb2136d7d2c
FileHash-SHA256	f3be35f8b8301e39dd3dffc9325553516a085c12dc15494a5e2fce73c77069ed
FileHash-SHA256	fc4b14250db7f66107820ecc56026e6be3e8e0eb2d428719156cf1c53ae139c6
IP	147.78.47.224
domain	adstat477d.xyz
domain	demstat577.xyz
domain	serverxlogs21.xyz
IP	185.202.0.111
IP	194.165.16.4
IP	45.9.74.14

Recomendaciones

Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
Limitar estrictamente el uso de los protocolos SMB y RDP.
Realizar auditorías de seguridad. (NIST CSF, 2024)
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
Tener filtros de correo electrónico y spam.
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
Realizar copias de seguridad, respaldos o back-ups constantemente.
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
Revisar continuamente los privilegios de los usuarios.
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
Habilitar la autenticación multifactor.

Referencias

Toulas, B. (2025. febrero 10) Police arrests 2 Phobos ransomware suspects, seizes 8Base sites. Recuperado el 11 de febrero del 2025 en: https://www.bleepingcomputer.com/news/legal/police-arrests-2-phobos-ransomware-suspects-seizes-8base-sites/
Toulas, B. (2025, febrero 11) US indicts 8Base ransomware operators for Phobos encryption attacks. Recuperado el 11 de febrero del 2025 en: https://www.bleepingcomputer.com/news/security/us-indicts-8base-ransomware-operators-for-phobos-encryption-attacks/

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

El captcha es requerido.

Comentarios

BOLETINES DESTACADOS

Grupo RedGolf

Publicado hace 21 horas 25-04-2025

El 23 de marzo de 2023, la firma estadounidense de ciberseguridad Recorded Future alertó sobre la continua actividad del grupo de hackers chinos conocido como RedGolf, presuntamente respaldado por el Estado. Según el informe, este grupo mantiene operaciones activas......

Vulnerabilidad Critica en FortiSwitch

Publicado hace 4 días 22-04-2025

Una nueva vulnerabilidad ha sido descubierta por el equipo interno de Fortinet. Esta vulnerabilidad cuenta con un score CVSS de 9.3, siendo clasificada como de carácter crítico. La vulnerabilidad fue ligada al identificador CVE-2024-48887. Esta CVE afecta a diver......

Ransomware NightSpire

Publicado hace 1 semana 16-04-2025

Con la creciente efectividad de los grupos de ransomware día con día, nuevos grupos se forman para aprovechar esta modalidad, la cual resulta muy lucrativa para los actores maliciosos. También se ha visto que se crean variantes de operaciones más grand......

BOLETINES RECIENTES

Grupo RedGolf

Publicado hace 21 horas 25-04-2025

Vulnerabilidad Critica en FortiSwitch

Publicado hace 4 días 22-04-2025

Ransomware NightSpire

Publicado hace 1 semana 16-04-2025