# Phobos Ransomware
> [!high] RaaS Prolífico desde 2019 - Exploração de RDP e Credenciais Expostas
> Phobos é um ransomware-as-a-service ativo desde maio de 2019, variante da família Dharma/CrySiS. Alvo preferêncial: PMEs e infraestruturas críticas com RDP exposto. Em fevereiro de 2024, a CISA emitiu o alerta AA24-060A detalhando suas TTPs após campanhas contra hospitais, escolas e infraestruturas municipais nos EUA.
## Visão Geral
Phobos é um ransomware distribuído no modelo RaaS (Ransomware-as-a-Service) identificado em maio de 2019, derivado das famílias [[dharma-ransomware|Dharma]] e CrySiS. Diferentemente de grupos de ransomware que operam com equipe fixa, o Phobos disponibiliza sua infraestrutura e criptografador para afiliados independentes, resultando em grande variedade de operadores com níveis distintos de sofisticação técnica.
O alerta conjunto CISA/FBI/MS-ISAC AA24-060A, públicado em fevereiro de 2024, consolidou a inteligência sobre o Phobos após série de ataques que afetaram governos municipais, hospitais, sistemas de emergência 911, distritos escolares e infraestruturas críticas nos EUA. O alerta revelou que os afiliados geralmente obtêm acesso inicial via RDP exposto, com varredura de portas e ataques de força bruta de credenciais, ou via campanhas de phishing que entregam [[s0226-smokeloader|SmokeLoader]] como loader de primeiro estágio.
A família Phobos é conhecida por criptografia com extensão customizável (`.phobos`, `.8base`, `.eking`, entre outras dependendo do afiliado), remoção de cópias shadow e desativação do Windows Firewall. Ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], [[s0521-bloodhound|Bloodhound]], [[mimikatz|Mimikatz]], AnyDesk e WinSCP são comumente utilizadas nos ataques, indicando afiliados com capacidade de movimento lateral e exfiltração de dados antes da criptografia.
Para o Brasil e LATAM, o modelo RaaS do Phobos é especialmente relevante: PMEs com RDP exposto e sem MFA são alvos de oportunidade. O grupo [[8base]], um dos afiliados mais ativos do Phobos, realizou ataques documentados contra organizações no Brasil em 2023-2024, especialmente nos setores de [[healthcare|saúde]] e [[financial|financeiro]].
## Como Funciona
Os afiliados do Phobos seguem padrão relativamente consistente de acesso inicial via serviços expostos:
1. Varredura de portas para identificar RDP (3389) e VPNs expostos na internet
2. Ataques de força bruta ou uso de credenciais compradas em mercados underground
3. Alternativamente, phishing com documentos maliciosos entregando SmokeLoader
4. Após acesso inicial, uso de Bloodhound para enumerar o Active Directory
5. Extração de credenciais com Mimikatz e movimento lateral via PsExec ou WMI
6. Exfiltração de dados antes da criptografia via WinSCP ou rclone
7. Criptografia com AES-256 para arquivos, RSA-1024 para a chave AES
```mermaid
graph TB
A["🔍 Varredura<br/>RDP/VPN expostos<br/>Porta 3389"] --> B["🔓 Acesso Inicial<br/>Força bruta ou<br/>credenciais compradas"]
B --> C["📥 Loader<br/>SmokeLoader via<br/>phishing alternativo"]
C --> D["👁️ Reconhecimento<br/>Bloodhound AD<br/>enum de domínio"]
D --> E["🔑 Credenciais<br/>Mimikatz dump<br/>LSASS memory"]
E --> F["↔️ Movimento Lateral<br/>PsExec / WMI<br/>propagação interna"]
F --> G["📤 Exfiltração<br/>WinSCP / rclone<br/>dados críticos"]
G --> H["🔒 Criptografia<br/>AES-256 + RSA-1024<br/>extensão customizada"]
H --> I["🗑️ Destruição<br/>VSS deletado<br/>firewall desativado"]
```
*Atores: [[8base]] - Ferramentas: [[s0154-cobalt-strike|Cobalt Strike]] · [[mimikatz|Mimikatz]] · [[s0521-bloodhound|Bloodhound]]*
## TTPs MITRE ATT&CK
| ID | Técnica | Fase | Descrição |
|----|---------|------|-----------|
| T1078 | Valid Accounts | Acesso Inicial | Credenciais RDP compradas ou brute-forced |
| T1133 | External Remote Services | Acesso Inicial | RDP e VPN como vetor primário |
| T1110 | Brute Force | Acesso Inicial | Ataques de força bruta em RDP exposto |
| T1562.004 | Disable Windows Firewall | Evasão | `netsh advfirewall set allprofiles state off` |
| T1486 | Data Encrypted for Impact | Impacto | AES-256 + RSA-1024, extensão customizada |
| T1003 | OS Credential Dumping | Coleta | Mimikatz para dump do LSASS |
| T1055 | Process Injection | Evasão | Injeção em processos legítimos |
| T1219 | Remote Access Software | C2 | AnyDesk para acesso persistente |
| T1048 | Exfiltration Alt Protocol | Exfiltração | WinSCP/rclone para exfiltração de dados |
## Variantes e Afiliados
```mermaid
graph TB
subgraph Família Ransomware
CR["CrySiS<br/>2016 - Origem"]
DH["Dharma<br/>2017 - Fork"]
PH["Phobos<br/>2019 - Fork"]
end
subgraph Afiliados Notórios
EIGHT["8Base<br/>2022+ - extensão .8base"]
EK["Eking<br/>2021 - extensão .eking"]
DEVOS["Devos<br/>2020 - extensão .devos"]
end
CR --> DH
DH --> PH
PH --> EIGHT
PH --> EK
PH --> DEVOS
```
*Grupos relacionados: [[8base]] - cada afiliado usa extensão de arquivo diferente*
## Relevância Brasil e LATAM
O [[8base]], afiliado Phobos com maior presença documentada no Brasil, realizou ataques contra organizações de [[healthcare|saúde]], contabilidade e serviços profissionais no país durante 2023-2024. A estratégia de RDP como vetor primário é especialmente eficaz no Brasil, onde muitas PMEs mantêm RDP exposto sem MFA por razões operacionais.
O setor de saúde brasileiro - com sistemas legados e baixa maturidade em segurança - é alvo direto do perfil Phobos: organizações com dados sensíveis mas sem equipe de segurança dedicada, dispostas a pagar resgates menores (tipicamente US$10.000 a US$500.000) para recuperar operações rapidamente.
## Detecção e Defesa
**Indicadores comportamentais:**
- `netsh advfirewall set allprofiles state off` executado por processo não-admin
- Acesso ao LSASS por processo diferente do sistema operacional
- Criação de arquivos com extensões incomuns (`.phobos`, `.8base`, `.eking`) em múltiplos diretórios
- Deleção de cópias shadow via `vssadmin delete shadows /all /quiet`
- AnyDesk ou WinSCP instalados em sistemas que normalmente não usam essas ferramentas
- Bloodhound executando no ambiente (criação de arquivos `.bin` com dados de AD)
**Mitigações prioritárias:**
- Desabilitar RDP público - se necessário, expor apenas via VPN com MFA obrigatório
- Implementar política de bloqueio após N tentativas de login falhas
- Backups offline testados regularmente - o Phobos apaga cópias shadow
- [[m1030-network-segmentation|Segmentação de rede]] para limitar movimento lateral
- [[m1049-antivirus-antimalware|EDR]] com detecção de credential dumping e process injection
## Referências
- [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a) CISA/FBI/MS-ISAC - StopRansomware: Phobos Ransomware AA24-060A (2024)
- [2](https://attack.mitre.org/software/S1116/) MITRE ATT&CK - Phobos S1116 (2024)
- [3](https://www.bleepingcomputer.com/news/security/cisa-warns-of-phobos-ransomware-used-in-attacks-on-us-critical-infrastructure/) BleepingComputer - CISA warns of Phobos Ransomware (2024)
- [4](https://www.mandiant.com/resources/blog/8base-ransomware) Mandiant - 8Base Ransomware Activity (2023)
- [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos) Malpedia - Phobos Ransomware