phobos-raas-campaign

# Phobos RaaS Campaign > [!high] Ransomware-as-a-Service Direcionado a Governo, Saúde e Educação > A campanha do **Phobos RaaS** e uma operação persistente de ransomware ativa desde maio de 2019, primariamente direcionada a entidades governamentais estaduais e locais (SLTT), saúde, educação e infraestrutura critica. O alerta conjunto CISA/FBI/MS-ISAC de fevereiro de 2024 (AA24-060A) consolidou a ameaça como prioritaria para o setor público americano e confirmou a motivacao exclusivamente financeira dos operadores. ## Visão Geral O Phobos surgiu em maio de 2019 como um derivado do [[ransomware]] Crysis/Dharma, operando como Ransomware-as-a-Service (RaaS) com um modelo de afiliados descentralizados. Diferente de operações de ransomware de alto perfil como LockBit ou BlackCat, o Phobos funciona com afiliados independentes que adquirem acesso ao builder e aos servidores de descriptografia, conduzindo suas proprias campanhas com relativa autonomia operacional. O grupo [[phobos-ransomware-group]] e motivado exclusivamente por ganho financeiro, sem vieses politicos ou geopoliticos aparentes. Essa característica, combinada com o baixo custo de entrada para afiliados, resultou em um alto volume de ataques contra alvos menores - principalmente entidades governamentais e educacionais estaduais e locais (SLTT) nos EUA e, em menor medida, na Europa e Asia. Os vetores de acesso inicial predominantes sao: phishing com anexos maliciosos e brute-force de RDP (Remote Desktop Protocol) contra servicos expostos na internet. A prevalencia de RDP mal configurado como vetor de entrada e especialmente notavel, pois muitas organizacoes SLTT manteem RDP exposto sem autenticação multifator adequada, criando um vetor facil de explorar. Após o acesso inicial, os afiliados do Phobos tipicamente usam [[s0154-cobalt-strike]] para movimento lateral, [[s0226-smokeloader]] para dropar cargas adicionais e ferramentas de reconhecimento como BloodHound para mapear ambientes Active Directory. A criptografia final utiliza AES-256 para arquivos e RSA-1024 para proteger a chave de criptografia. O alerta CISA AA24-060A de fevereiro de 2024 foi um ponto de inflexao para a visibilidade do Phobos, consolidando TTPs e IOCs de dezenas de incidentes e elevando o grupo a prioridade de monitoramento para o setor público americano. Variantes recentes indicam desenvolvimento continuo com novos mecanismos de persistência e escalada de privilegios. ## Attack Flow ```mermaid graph TB A["🚪 Acesso Inicial RDP Brute-force OU Phishing com anexo malicioso"] --> B["🛠️ Reconhecimento Interno BloodHound - mapeamento AD NetScan - enumeracao de rede"] B --> C["🚀 Movimento Lateral Cobalt Strike beacons Credenciais capturadas"] C --> D["💧 Pre-ransomware SmokeLoader - loaders AnyDesk para acesso remoto"] D --> E["🔐 Criptografia AES-256 Phobos cifra arquivos Extensao .phobos adicionada"] E --> F["🗑️ Eliminacao de Backups VSS deletados Shadow copies removidos"] F --> G["💰 Extorsao Nota de resgate entregue Contato via email ou TOX"] ``` ### Modelo RaaS e Afiliados ```mermaid graph TB A["Phobos Core Operators Builder + Infraestrutura C2 Chave de descriptografia"] --> B["Afiliados Independentes Compram acesso ao builder Conduzem proprias campanhas"] B --> C["Vetor 1: RDP Brute-force ShodanHQ + scan Credenciais fracas"] B --> D["Vetor 2: Phishing Email Documentos Office ou links maliciosos"] B --> E["Vetor 3: Exploit VPN Vulnerabilidades em appliances expostos"] A --> F["Divisao de Receita Afiliado mantem parte do resgate pago"] ``` ## Cronologia | Data | Evento | |------|--------| | 2019-05 | Phobos surge como derivado do Crysis/Dharma; primeiros ataques documentados | | 2019-Q3 | Expansao do modelo RaaS com múltiplos afiliados; aumento de volume de ataques | | 2020-2021 | Pico de ataques contra escolas e hospitais durante pandemia COVID-19 | | 2022-Q2 | Variantes com novos mecanismos de persistência e escalada de privilegios identificadas | | 2023-Q4 | Ataques contra infraestrutura critica americana aumentam; FBI inicia investigação ativa | | 2024-02 | CISA/FBI/MS-ISAC públicam alerta conjunto AA24-060A com TTPs e IOCs detalhados | | 2024-Q2 | Phobos continua ativo com afiliados operando em múltiplas regioes | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Emails com anexos maliciosos como vetor de acesso inicial secundario | | [[t1110-brute-force\|T1110]] | Brute Force | RDP brute-force como vetor de acesso primario | | [[t1059-command-scripting-interpreter\|T1059]] | Command Scripting | PowerShell e cmd.exe para execução de scripts de reconhecimento | | [[t1486-data-encrypted-for-impact\|T1486]] | Data Encrypted for Impact | Criptografia AES-256 de arquivos com extensao .phobos | | [[t1490-inhibit-system-recovery\|T1490]] | Inhibit System Recovery | Exclusao de VSS e shadow copies para impedir recuperacao | | [[t1078-valid-accounts\|T1078]] | Valid Accounts | Uso de credenciais RDP comprometidas para acesso | | [[t1562-impair-defenses\|T1562]] | Impair Defenses | Desativacao de antivirus e EDR antes da criptografia | ## Vitimas e Alvos O Phobos demonstra preferência por alvos com postura de segurança menos madura: - **Governos estaduais e municipais (EUA)**: Prefeituras, condados, agencias estaduais com RDP exposto - **Setor de saúde**: Hospitais regionais e clinicas com sistemas desatualizados - **Educação**: Escolas públicas, distritos escolares e universidades com recursos limitados de TI - **Infraestrutura critica**: Utilidades de agua, energia eletrica em nivel municipal O CISA estimou dezenas de vitimas SLTT comprometidas antes da públicacao do alerta AA24-060A, com resgates tipicamente variando entre $50.000 e $500.000 dependendo do tamanho da organização. ## Relevância LATAM > [!latam] Impacto Potencial para Brasil e LATAM > O modelo RaaS do Phobos e altamente relevante para o Brasil e LATAM. Municipios brasileiros, secretarias estaduais e hospitais públicos apresentam o mesmo perfil de risco das vitimas SLTT americanas: **RDP exposto sem MFA**, sistemas desatualizados, equipes de TI reduzidas e menor capacidade de resposta a incidentes. Prefeituras brasileiras já foram alvo de ransomware similares (LockBit, BlackCat) com TTPs identicos. Afiliados do Phobos já foram identificados operando contra alvos em Portugal, criando proximidade linguistica com o mercado brasileiro. - O setor de saúde pública brasileiro (SUS) representa um alvo com perfil identico as vitimas SLTT americanas - Municipios com RDP exposto sem MFA sao o alvo preferêncial de afiliados Phobos oportunistas - O volume alto de ataques do modelo RaaS aumenta probabilidade estatistica de ataques na regiao ## Mitigação e Detecção - **Desabilitar RDP público** ou colocar atras de VPN com MFA obrigatoria - **Monitoramento de tentativas de autenticação em RDP** para detectar brute-force - **Backup offline e imutavel** de sistemas criticos para garantir recuperabilidade sem pagar resgate - **Detecção de BloodHound/SharpHound** em redes Active Directory (logs de consultas LDAP em alto volume) - **Monitoramento de exclusao de VSS** como indicador pre-ransomware de alta confiança - **Segmentacao de rede** para limitar propagação de ransomware entre segmentos - Aplicar [[m1030-network-segmentation]], [[m1032-multi-factor-authentication]] e [[m1049-antivirus-endpoint-protection]] ## Referências - [CISA - Alert AA24-060A: Phobos Ransomware (Fev 2024)](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a) - [FBI - Flash Alert: Phobos Ransomware TTPs](https://www.ic3.gov/Media/News/2024/240229.pdf) - [Malwarebytes - Phobos Ransomware Analysis](https://www.malwarebytes.com/blog/detections/ransom-phobos) - [MITRE ATT&CK - Phobos Ransomware](https://attack.mitre.org/software/S0590/)