Ett gäng cyberkriminella som med stor framgång ligger bakom en serie attacker med gisslanprogram distribuerar just nu en ny variant som bygger på en evolution av de två värsta attackerna under 2018. Den nya varianten är speciellt framtaget för att rikta sina attacker mot företag, skriver ZDNet.
Phobos, som den nya varianten döpts till av sina skapare, dök först upp i december förra året och upptäcktes av forskare på Coreware. Phobos visar stora likheter med Dharma som var en av de värsta attackerna under 2018. Bägge utnyttjar sårbarheter i illa skyddade rdp-portar för att peta in den skadliga koden på företagens nätverk, kryptera filer som ges filändelsen .phobos, och, vad annars, vill ha betalt i bitcoins för att låsa upp filerna.
Phobos och Dharma uppvisat även andra likheter; de har till stora delar samma kod och meddelandet till offren är utformat på exakt samma sätt med samma ord, bortsett från att skaparna bytt ut logotypen (tänk att de ändå lägger krut på den detaljen reds. amn.).
Men det finns också skillnader. Phobos innehåller element från gisslanprogrammet CrySiS, och ett antivirus betecknar Phobos just som ett CriSiS. Även CrySiS har gener från Dharma. Men metoden för attackerna och modus operandi är stort sett desamma.
Det står klart för forskarna på Coreware att det är samma grupp av cyberkriminella som ligger bakom både Phobos och Dharma. Forskarna ser utvecklingen av den nya Phobos som en "Plan B” ifall Dharma skulle bli avkrypterad, det vill säga att säkerhetsforskare tar fram en generell nyckel, och inte få samma effekt som hittills.
Företag, och i förekommande fall privatpersoner, råds att säkra upp sina rdp-portar och se till att ha bra säkerhetskopior på sina data - skulle olyckan vara framme kan man återställa data utan att betala de cyberkriminella ett vitten.
Läs också:
Åtta it-säkerhetstrender att ha koll på under 2019
Efter porrmejlen och bombmejlen – nu kommer mordmejlen
