취약한 RDP를 통해 유포되는 Phobos 랜섬웨어 주의 - ASEC BLOG 관련 IOC 10개 발견
ASEC은 최근 Phobos 랜섬웨어가 활발하게 유포되고 있음을 확인하였으며, Dharma, CrySis 랜섬웨어와 기술 및 운영상 유사점을 공유하는 변종 형태로 알려져 있으며, 보안 취약한 RDP를 Initial Access로 활용하여 유포되고 있다. 감염 시 원본 확장자 뒤에 VSN, 공격자 메일 주소 등의 정보가 추가되며, 생성되는 랜섬노트는 info.txt, info.hta 파일 형태로 생성되며, 랜섬노트 내에는 공격자의 메일 정보가 존재한다. 관리자의 각별한 주의가 필요하다.
ASEC은 최근 Phobos 랜섬웨어가 활발하게 유포되고 있음을 확인하였으며, Dharma, CrySis 랜섬웨어와 기술 및 운영상 유사점을 공유하는 변종 형태로 알려져 있으며, 보안 취약한 RDP를 Initial Access로 활용하여 유포되고 있음을 확인하였다. 감염 시 원본 확장자 뒤에 VSN, 공격자 메일 주소 등의 정보가 추가되며, 랜섬노트가 생성되고 공격자의 메일 정보가 포함되어 있으므로 관리자의 각별한 주의가 필요하다.
Ahnlab
Phobos ransomwareism distributed through vulnerable RDP -ASEC Blog
ASEC has recently confirmed that PHOBOS ransomware is being actively distributed, and is known as a variant of Dharma, Crysis ransomware and technology and operating similarities, and is being distributed by using a security vulnerable RDP as an initial Access.Infections include information such as VSN and attacker mail address after the original extension, and the ransom notes generated are generated in the form of Info.txt and Info.hta files.Special care is needed by administrator.
ASEC has recently confirmed that PHOBOS ransomware is being actively distributed, and it is known as a variant of shares of dharma and crysis ransomware and operating similarities, and it is distributed by using a security vulnerable RDP as an initial Access…Infection, information such as VSN, attacker mail address, etc. is added after the original extension, and ransom notes are created and the attacker’s mail information is included.
https://asec.ahnlab.com/ko/58511/