La policía japonesa lanzó un descifrador gratuito para Phobos y 8Base Ransomware, lo que permitió a las víctimas recuperar archivos sin pagar el rescate. Las autoridades japonesas publicaron un descifrador gratuito para Phobos y 8Base Ransomware, lo que permite a las víctimas recuperar archivos sin pagar. La policía japonesa lanzó el descifrador gratuito para las familias de ransomware, que probablemente se construyó con Intel a partir de un reciente derribo de pandillas. El software se puede descargar desde el sitio web de la policía y el sitio de nomoreransom de Europol. La herramienta funciona en archivos con extensiones como .phobos, .8Base, .elbie, .faust y .lizard, y pueden apoyar a otros. A pesar de los falsos banderas de malware de algunos navegadores, las pruebas confirman que funciona y es seguro. Europol y el FBI lo están promoviendo como una solución de recuperación oficial. Nomoreransom advierte a los usuarios que eliminen primero el malware con un antivirus confiable antes de usar el descifrador, o los archivos pueden volver a entrelazarse repetidamente. La operación de Phobos utiliza un modelo de ransomware como servicio (RAAS), ha estado activo desde mayo de 2019. Según la información de fuentes abiertas, los expertos gubernamentales vincularon múltiples variantes de ransomware de Phobos con intrusiones de Phobos debido a similitudes observadas en tácticas, técnicas y procedimientos (TTP). Las intrusiones de Phobos también implicaron el uso de varias herramientas de código abierto, incluidos Smokeloader, Cobalt Strike y Bloodhound. Estas herramientas están ampliamente disponibles y fáciles de usar en diferentes entornos operativos, lo que contribuye a la popularidad de Phobos y sus variantes asociadas entre varios actores de amenazas. Se observó que los actores de amenaza detrás de los ataques de Phobos obtuvieron acceso inicial a redes vulnerables al aprovechar las campañas de phishing. Dejaron cargas útiles ocultas o usaron herramientas de escaneo del Protocolo de Internet (IP), como el escáner IP enojado, para buscar puertos vulnerables del protocolo de escritorio remoto (RDP) o aprovechando RDP en entornos de Microsoft Windows. En marzo de 2024, la CISA de EE. UU., El FBI y el MS-ISAC emitieron un Aviso Conjunto de Ciberseguridad (CSA) para advertir de ataques que involucran variantes de ransomware de Phobos como Backydata, DeVos, Ocho, Eling y Fausto. En noviembre de 2023, los investigadores de Cisco Talos observaron a los operadores de ransomware de 8 bases utilizando una variante del ransomware Phobos en ataques recientes. En 2023, 8Base surgió de los afiliados de Phobos, utilizando un encriptador modificado y una doble extorsión, enfritando y robando datos para forzar los pagos de rescate. Las variantes de Phobos generalmente son distribuidas por el Smokeloader, pero en las campañas de 8BASE, tiene el componente de ransomware integrado en sus cargas útiles cifradas. El componente de ransomware se descifra y se carga en la memoria del proceso Smokeloader. En junio, los investigadores de Black Black de VMware observaron una intensificación de la actividad asociada con un grupo de ransomware sigiloso llamado 8BASE. Los expertos observaron un aumento masivo en la actividad asociada con este actor de amenaza entre mayo y junio de 2023. El grupo ha estado activo desde marzo de 2022, se centró en pequeñas y medianas empresas en múltiples industrias, incluidas las finanzas, la fabricación, los servicios comerciales y la TI. En noviembre de 2024, el operador de ransomware de Phobos ruso Evgenii Ptitsyn, sospechoso de desempeñar un papel clave en las operaciones de ransomware, fue extraditado desde Corea del Sur a los Estados Unidos para enfrentar cargos de delitos cibernéticos. Según el DOJ, la operación de ransomware de Phobos se dirigió a más de 1,000 entidades públicas y privadas en los Estados Unidos y en todo el mundo, extorsionando más de $ 16 millones en paymen de rescate. El ciudadano ruso presuntamente estuvo involucrado en el desarrollo, venta, distribución y operaciones del ransomware. Evgenii Ptitsyn y otros supuestamente dirigieron un esquema de piratería internacional desde noviembre de 2020, desplegando ransomware Phobos para extorsionar a las víctimas. Según los informes, Ptitsyn vendió el ransomware en los foros de DarkNet bajo alias como «Derxan» y «Zimmermanx», lo que permite a otros delincuentes cifrar datos y demanda de rescate. Ptitsyn y sus conspiradores utilizaron un modelo de ransomware como servicio (RAAS) para distribuir su malware a una red de afiliados. Los afiliados pagaron tarifas a administradores como Ptitsyn para claves de descifrado, con pagos enrutados a través de billeteras de criptomonedas únicas de 2021-2024. En febrero de 2025, el Departamento de Justicia de los Estados Unidos reveló los cargos contra los nacionales rusos Roman Berezhnoy y Egor Glebov por operar un grupo de ransomware Phobos. Supuestamente se dirigieron a más de 1,000 entidades públicas y privadas en todo el mundo, extorsionando más de $ 16 millones en rescate. Ambos fueron arrestados en una operación internacional coordinada que también desmanteló la infraestructura del grupo y condujo a más arrestos. Sígueme en Twitter: @SecurityAffairs y Facebook y Mastodon Pierluigi Paganini (SecurityAffairs-Hacking, 8Base Ransomware) URL original de la publicación: https://securityaffairs.com/180108/malware/authorities– Releaded- liber-decryptor-for-phobos-and-8base-ransom.htmlce.htmlc. Noticias, delitos cibernéticos, piratería, malware, seguridad, ransomware 8Base, delito cibernético, descriptor, noticias de piratería, noticias de seguridad de la información, seguridad de la información, malware, ransomware Phobos, Pierluigi Paganini, noticias de seguridad – Noticias de seguridad, noticias de seguridad cibernética, pirateo, malware, seguridad, ransiolero 8base, cibergrijos cibernador Seguridad, malware, ransomware Phobos, Pierluigi Paganini, Noticias de seguridad