La menace croissante du rançongiciel Phobos, sans outil de déchiffrement, inquiète, entraînant une réponse inter-agences en cybersécurité aux États-Unis.
Il devrait être inutile de rappeler que, dans un monde de plus en plus connecté, la menace d’attaques cybernétiques telles que les rançongiciels est en constante augmentation. Néanmoins, comme vient de le rappeler l’agence américaine CISA, cela est particulièrement préoccupant quand on considère la sophistication de variantes de rançongiciels comme Phobos, qui ont évolué vers un modèle de service — le rançongiciel en tant que service (RaaS), élargissant ainsi le potentiel de perturbations à grande échelle et offrant des outils cybercriminels même à ceux ayant des connaissances techniques limitées.
Le rançongiciel Phobos, qui est sur le radar des agences de cybersécurité depuis 2019, s’est avéré être devenu une menace redoutable. Des attaques ont été systématiquement enregistrées, en particulier contre les agences gouvernementales américaines. Ces attaques, souvent soigneusement orchestrées, ont pénétré divers secteurs, allant des administrations municipales et départementales aux services d’urgence, aux institutions éducatives et aux entités de soins de santé publiques.
Pour mieux les contrer, les agences du Bureau Fédéral d’Enquête (FBI), de l’Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) et du Centre d’Analyse et de Partage d’Informations Multi-États (MS-ISAC) viennent de publier un nouveau set d’informations concernant les tactiques, techniques et procédures (TTP) ainsi que les indicateurs de compromission (IOC) liés au rançongiciel Phobos.
Les efforts collaboratifs entre les agences et le partage de connaissances et de stratégies rappellent l’importance d’une approche collective en matière de cybersécurité.
Qu’est-ce que Phobos ?
Selon l’article ci-dessous rédigé par l’éditeur de sécurité Avast, Phobos, du nom du dieu grec de la peur, est un type de ransomware dont la structure et l’approche sont étroitement liées à deux autres types de virus notoires, Crysis et Dharma. Crysis a été identifié pour la première fois en 2016 et s’est généralisé lorsque son code source a été publié en ligne. Suite à la création des clés de déchiffrement pour Crysis, les cybercriminels ont mis à jour son code pour créer Dharma. De la même façon, lorsque des outils de déchiffrement ont été développés pour contrer Dharma, le ransomware a de nouveau évolué. Cette version 2018 est connue sous le nom de Phobos.
Si Dharma et Phobos sont très similaires en termes de code et très répandus en raison de leur simplicité, une différence majeure subsiste : début 2022, il n’existe toujours pas d’outil de déchiffrement pour Phobos.