Dans une découverte récente de Fortinet FortiGuard Labs, une nouvelle itération de la famille des ransomwares Phobos, dit Faust, a été détecté à l'état sauvage. Plus particulièrement, les chercheurs sont tombés sur un document Office contenant un script VBA conçu pour distribuer la variante Faust. Les auteurs ont utilisé le service Gitea pour stocker plusieurs fichiers codés en Base64., chacun hébergeant un binaire malveillant.
phobos est devenu une famille de variantes ransomware, chacun portant des caractéristiques et des tactiques uniques. Phobos infiltre les systèmes à travers divers vecteurs, exploitant souvent les vulnérabilités des logiciels ou tirant parti techniques d'ingénierie sociale. Heures supplémentaires, le ransomware a donné naissance à de nombreuses ramifications, dont Faust, Eking, Huit, Elbie, Devos, et 8Base.
L'évolution de la famille a été marquée par des adaptations continues pour contourner les défenses de cybersécurité. Notamment, Phobos a attiré l'attention des chercheurs et des organisations en sécurité du monde entier, susciter des efforts de collaboration pour comprendre ses subtilités et développer des contre-mesures. L'histoire du ransomware Phobos se déroule comme un jeu du chat et de la souris entre cybercriminels et experts en cybersécurité, chaque itération introduisant de nouveaux défis et nécessitant des stratégies de défense innovantes.
Tactiques sournoises de Faust Ransomware: La connexion Gitea et le cryptage des fichiers
Cara Lin, chercheuse en sécurité, dans un rapport technique, révèle que Faust utilise le service Gitea pour stocker des fichiers malveillants codés en Base64. ces fichiers, lorsqu'il est injecté dans la mémoire d'un système, lancer une attaque de cryptage de fichiers. Cette partie de l'article approfondit les aspects techniques de la chaîne d'attaque de Faust, faire la lumière sur ses tactiques furtives et son impact potentiel sur les systèmes ciblés.
Faust rejoint les rangs de plusieurs variantes de ransomware de la famille Phobos, dont Eking, Huit, Elbie, Devos, et 8Base. Notamment, Faust avait déjà été documenté par Cisco Talos en novembre 2023.
Conclusion
Malgré l'évolution continue des menaces de ransomware, il y a une baisse notable du nombre de victimes choisissant de payer. Les données de Coveware mettent en évidence cette tendance, indiquant un changement dans la réponse de l'industrie. La conclusion explore les raisons possibles de ce déclin, mettant l'accent sur le rôle des entreprises de cybersécurité dans l'accompagnement des victimes et sur l'adaptabilité globale du secteur face aux cybermenaces.