# Phobos Ransomware > Tipo: **ransomware RaaS** - S1325 - [MITRE ATT&CK](https://attack.mitre.org/software/S1325) > [!danger] Ransomware de Alta Volume desde 2018 - CISA Advisory 2024 Alerta sobre Ataque a Governo e Saúde > O Phobos e um ransomware ativo desde dezembro de 2018, com modelo de venda direta de ferramentas a criminosos (ransomware-as-a-service de baixo custo). Em fevereiro de 2024, a CISA públicou advisory AA24-060A documentando ataques a governos estaduais e municipais, hospitais e escolas. O grupo [[8base|8Base]] e um dos principais operadores do Phobos em 2024-2025. O modelo de acesso via RDP forcado e o uso de software de backup como alvo sao marcas registradas do grupo. ## Visão Geral [[s1325-phobos-ransomware|Phobos]] e um ransomware derivado do [[dharma-ransomware|Dharma/CrySIS]], ativo desde dezembro de 2018 e rastreado pelo MITRE como **S1325**. O modelo de negocio do Phobos e fundamentalmente diferente dos grandes grupos RaaS: em vez de recrutar afiliados com percentual de receita, o grupo vende ou aluga o ransomware diretamente - tornando-o acessivel a criminosos com menor sofisticacao técnica. Isso explica o alto volume de incidentes com poucos elementos em comum entre as diferentes campanhas. O Phobos e distribuido e operado por múltiplos grupos independentes, incluindo [[8base|8Base]] (que usou o Phobos para atacar mais de 500 organizacoes em 18 meses), BackMyData e outros. A CISA identificou o Phobos em advisory conjunto de fevereiro de 2024 (AA24-060A) como responsavel por ataques a municipios, hospitais, escolas e organizacoes de saúde - com resgates tipicamente entre USD 5.000 e 300.000, menores que os grandes grupos mas volume muito maior. O acesso inicial e predominantemente via **RDP exposto** sem autenticação multifator - o Phobos e conhecido por escanear a internet em busca de portas 3389 abertas e realizar brute force de credenciais. Uma vez dentro, o ransomware desativa servicos de segurança, deleta backups e criptografa arquivos com AES-256. **Plataformas:** Windows ## Como Funciona 1. **Scan de RDP exposto:** Varredura ativa da internet em busca de portas 3389 acessiveis; brute force de credenciais ou uso de credenciais compradas ([[t1021-001-remote-desktop-protocol|T1021.001]] + [[t1078-valid-accounts|T1078]]) 2. **Persistência via registro:** Adiciona entradas de execução automatica no registro do Windows ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) para sobreviver a reinicializacoes 3. **Enumeracao de arquivos:** Varre todas as unidades mapeadas e compartilhamentos de rede em busca de arquivos para criptografar ([[t1083-file-and-directory-discovery|T1083]]) 4. **Desativacao de defesas:** Para servicos de AV, backup e banco de dados ([[t1562-001-disable-or-modify-tools|T1562.001]] + [[t1489-service-stop|T1489]]) 5. **Criptografia AES-256:** Cada arquivo criptografado com AES-256; chave única protegida por RSA-1024; extensao adicionada com ID único da vitima (formato: `nome.extensao.ID[email].extensao_nova`) 6. **Delecao de shadows:** Remove shadow copies via vssadmin e wmic ([[t1490-inhibit-system-recovery|T1490]]) 7. **Nota de resgaté:** Arquivo `info.hta` ou `info.txt` em cada diretorio afetado com email de contato ```mermaid graph TB A["RDP Brute Force<br/>Porta 3389 exposta<br/>T1021.001 + T1078"] --> B["Acesso RDP estabelecido<br/>Persistência via Registry<br/>T1547.001 autorun"] B --> C["Enumeracao de arquivos<br/>Drives + compartilhamentos<br/>T1083 - Network shares"] C --> D["Desativar defesas<br/>AV / Backup / BD<br/>T1562.001 + T1489"] D --> E["Delete shadows<br/>vssadmin + wmic<br/>T1490 - Sem recuperacao"] E --> F["AES-256 criptografia<br/>Extensao ID vitima<br/>T1486 - info.hta nota"] classDef access fill:#e74c3c,color:#fff classDef persist fill:#e67e22,color:#fff classDef recon fill:#2980b9,color:#fff classDef disable fill:#8e44ad,color:#fff classDef impact fill:#2c3e50,color:#fff class A access class B persist class C recon class D disable class E,F impact ``` ## Timeline ```mermaid timeline title Phobos Ransomware - Historico Dez 2018 : Phobos identificado pela primeira vez : Derivado do Dharma/CrySIS ransomware 2019-2020 : Distribuição para multiplos operadores : Volume crescente de incidentes RDP 2021-2022 : 8Base adota Phobos como plataforma : 500+ organizacoes atacadas em 18 meses 2023 : BackMyData e outros operadores ativos : Foco crescente em saude e governo Fev 2024 : CISA Advisory AA24-060A publicado : Alerta sobre ataques a municipios e hospitais 2024-2025 : Phobos continua ativo com 8Base : Detencao do criador reportada pela europol ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP brute force / exposicao | | Initial Access | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas | | Persistence | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Autorun via chaves de registro | | Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e compartilhamentos | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Para servicos AV e backup | | Defense Evasion | [[t1489-service-stop\|T1489]] | Para processos criticos | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 com ID único por vitima | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadow copies | ## Relevância LATAM/Brasil O [[s1325-phobos-ransomware|Phobos]] e especialmente relevante para o Brasil e América Latina por dois motivos. O primeiro e o **vetor RDP**: o Brasil tem uma das maiores quantidades de endpoints RDP expostos na internet na regiao, fruto de adocao massiva de trabalho remoto sem configuração adequada de segurança. O Phobos e o grupo que mais explora exatamente esse vetor em volume global. O segundo e o **perfil de vitima**: o Phobos ataca preferêncialmente municipios, hospitais e escolas - exatamente os setores mais vulneraveis no Brasil devido a baixo investimento em segurança e sistemas legados. A combinacao de RDP exposto + falta de autenticação multifator + ausência de backups offline testados cria o ambiente ideal para o Phobos operar no Brasil. **Setores impactados:** [[government|governo]] - [[healthcare|saúde]] - [[education|educação]] - [[financial|financeiro]] - PMEs ## Detecção - Monitorar tentativas de login RDP com mais de 5 falhas em 60 segundos do mesmo IP - padrao tipico de brute force Phobos - Detectar criação de novas chaves de registro em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` por processos nao-administrativos - Alertar para arquivos `info.hta` criados em múltiplos diretorios simultaneamente - nota de resgaté do Phobos - Bloquear portas RDP (3389) para internet pública - nenhuma justificativa válida para exposicao direta ```sigma title: Phobos Ransomware info.hta Ransom Note Drop status: stable logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - '\info.hta' - '\info.txt' TargetFilename|contains: - 'C:\Users' - 'C:\Documents' timeframe: 1m condition: selection | count() > 3 level: critical tags: - attack.impact - attack.t1486 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S1325) MITRE ATT&CK - S1325 Phobos (2024) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-060a) CISA/FBI/MS-ISAC - AA24-060A Phobos Ransomware Advisory (2024) - [3](https://www.trendmicro.com/vinfo/us/security/news/ransomware/the-state-of-ransomware-phobos) Trend Micro - The State of Ransomware Phobos (2024) - [4](https://www.sentinelone.com/anthology/8base/) SentinelOne - 8Base Ransomware Powered by Phobos (2024) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos) Malpedia - Phobos Family Details (2024)