🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Home
Threat Intelligence Posts
Ransomware

Análise do Faust Ransomware, uma variante da família Phobos Ransomware

A plataforma de risco digital de IA contextual da CloudSek, xVigil, descobriu um grupo de ransomware com motivação financeira, apelidado de Faust, uma variante da família de ransomware Phobos. O grupo criptografa os arquivos das vítimas com uma extensão '.faust'.
Updated on
April 17, 2026
Published on
February 8, 2023
Read MINUTES
5
Subscribe to the latest industry news, threats and resources.

Category: 

Malware Intelligence

Industry: 

Multiple     

Motivation:

Financial

Region: 

Global

Source:

A: Reliable

1: Confirmed by independent Sources

Sumário executivo

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um grupo de ransomware com motivação financeira, apelidado Faust, uma variante da família de ransomware Phobos. O grupo criptografa os arquivos das vítimas com uma extensão '.faust'.

Na nota de resgate, um endereço de e-mail (gardex_recofast @zohomail [.] eu) foi compartilhado para comunicação sobre o resgate. O grupo de ransomware descarta o arquivo info.hta (aplicativo HTML) e info.txt, que é para comunicação dos agentes da ameaça após criptografar os arquivos das vítimas.

É interessante notar que o grupo de ransomware mencionou dois endereços de e-mail, gardex_recofast @zohomail [.] eu e annawong @onionmail [.] org, para comunicação em 24 horas.

Análise e atribuição

Análise de código aberto

Com base em nossa análise histórica de ameaças semelhantes, acreditamos que a presença de vários endereços de e-mail indica duas possibilidades. Ou ele pertence a vários afiliados ou os agentes de ameaças estão criando vários endereços de e-mail para evitar a proibição dos provedores de e-mail.

Os endereços de e-mail mencionados para comunicação direta foram usados em serviços de provedores de e-mail, como:

  • Zoho Mail
  • Onion Mail
  • Correio aéreo
  • ProtonMail
  • Nota Tuta
  • Cock.li
  • Gmail
  • Keemail

História do Grupo Phobos Ransomware

O grupo de ransomware Phobos iniciou suas operações em 2018 e era conhecido por se espalhar por meio de conexões RDP comprometidas ou vulneráveis. Em 2020, um operador da Phobos começou a recrutar por meio de fóruns de cibercriminosos com os principais modos de comunicação via jabber (CreakerBro @exploit [.] im) e e-mail (SennaDaSilva0194 @keemail [.] me).

Desde então, vários afiliados do ransomware Phobos podem ser vistos anexando seus endereços de e-mail enquanto criptografam os arquivos da vítima. Até o momento, não há um decodificador gratuito disponível para o ransomware Faust, uma variante do ransomware Phobos.

Parceiros de recrutamento de ransomware Phobos para suas operações de ransomware


Conexão com o Dharma/CrySiS Ransomware


Vários relatórios de pesquisa sugerem que Phobos é derivado do ransomware Dharma e CrySiS. O ransomware CrySiS estava no auge de suas operações em 2016, mas posteriormente seu código-fonte foi compartilhado pelo autor original. Portanto, semelhanças impressionantes podem ser observadas entre os dois grupos, incluindo sua nota de resgate.

Indicadores de compromisso (IOCs)

Com base nos resultados do VirusTotal e do Triage, a seguir estão os IOCs do ransomware Faust. As regras da YARA detectaram Phobos como a assinatura principal do ransomware Faust.

MD5

9f14040a8875531ea00aa6f5aa90f218

SHA-1

caf2ae5b2b2d86e4cb52e03079c4ef82ed1c57d5

b9b10ce1f750c58236e8ad7137a03a4e4ab33924

SHA-256

b5475975e30be3c1ff6c97d148def1287dc3a0341d546198df85dbb66c1b6ffa

Nota de resgate

Todos os seus arquivos foram criptografados!

Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Se você quiser restaurá-los, escreva-nos para o e-mail [email protected]

Escreva esse ID no título da sua mensagem -

Em caso de não resposta em 24 horas, escreva-nos para este e-mail: [email protected]

Você tem que pagar pela decodificação em Bitcoins. O preço depende da rapidez com que você nos escreve. Após o pagamento, enviaremos a ferramenta que descriptografará todos os seus arquivos.

Descriptografia gratuita como garantia

Antes de pagar, você pode nos enviar até 5 arquivos para descriptografia gratuita. O tamanho total dos arquivos deve ser menor que 4 MB (não arquivados) e os arquivos não devem conter informações valiosas. (bancos de dados, backups, grandes planilhas do Excel, etc.)

Como obter Bitcoins

A maneira mais fácil de comprar bitcoins é o site LocalBitcoins. Você precisa se registrar, clicar em “Comprar bitcoins” e selecionar o vendedor por método de pagamento e preço.

hxxps: //localbitcoins.com/buy_bitcoins

Além disso, você pode encontrar outros lugares para comprar Bitcoins e um guia para iniciantes aqui:

hxxp: //www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenção!

Não renomeie arquivos criptografados.

Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.

A descriptografia de seus arquivos com a ajuda de terceiros pode aumentar o preço (eles adicionam suas taxas às nossas) ou você pode se tornar vítima de um golpe.

```

Regras da YARA para detectar o ransomware Phobos


[TLP:WHITE] win_phobos_auto (20230125 | Detects win.phobos.)
rule win_phobos_auto {

    meta:
        author = "Felix Bilstein - yara-signator at cocacoding dot com"
        date = "2023-01-25"
        version = "1"
        description = "Detects win.phobos."
        info = "autogenerated rule brought to you by yara-signator"
        tool = "yara-signator v0.6.0"
        signator_config = "callsandjumps;datarefs;binvalue"
        malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.phobos"
        malpedia_rule_date = "20230124"
        malpedia_hash = "2ee0eebba83dce3d019a90519f2f972c0fcf9686"
        malpedia_version = "20230125"
        malpedia_license = "CC BY-SA 4.0"
        malpedia_sharing = "TLP:WHITE"

    /* DISCLAIMER
     * The strings used in this rule have been automatically selected from the
     * disassembly of memory dumps and unpacked files, using YARA-Signator.
     * The code and documentation is published here:
     * https://github.com/fxb-cocacoding/yara-signator
     * As Malpedia is used as data source, please note that for a given
     * number of families, only single samples are documented.
     * This likely impacts the degree of generalization these rules will offer.
     * Take the described generation method also into consideration when you
     * apply the rules in your use cases and assign them confidence levels.
     */


    strings:
        $sequence_0 = { 81c6b2000000 89b7a8000000 8b75fc 6a02 8945e0 8945e4 8d45e0 }
            // n = 7, score = 100
            //   81c6b2000000         | add                 esi, 0xb2
            //   89b7a8000000         | mov                 dword ptr [edi + 0xa8], esi
            //   8b75fc               | mov                 esi, dword ptr [ebp - 4]
            //   6a02                 | push                2
            //   8945e0               | mov                 dword ptr [ebp - 0x20], eax
            //   8945e4               | mov                 dword ptr [ebp - 0x1c], eax
            //   8d45e0               | lea                 eax, [ebp - 0x20]

        $sequence_1 = { 8d440002 8945f8 8d45f4 50 6819010200 }
            // n = 5, score = 100
            //   8d440002             | lea                 eax, [eax + eax + 2]
            //   8945f8               | mov                 dword ptr [ebp - 8], eax
            //   8d45f4               | lea                 eax, [ebp - 0xc]
            //   50                   | push                eax
            //   6819010200           | push                0x20119

        $sequence_2 = { ff7510 ff15???????? 8945fc 83f8ff 0f849c010000 ff75ec 8d4620 }
            // n = 7, score = 100
            //   ff7510               | push                dword ptr [ebp + 0x10]
            //   ff15????????         |                     
            //   8945fc               | mov                 dword ptr [ebp - 4], eax
            //   83f8ff               | cmp                 eax, -1
            //   0f849c010000         | je                  0x1a2
            //   ff75ec               | push                dword ptr [ebp - 0x14]
            //   8d4620               | lea                 eax, [esi + 0x20]

        $sequence_3 = { ff7508 e8???????? 83c40c 8bd8 66ff4b04 66ff4e04 }
            // n = 6, score = 100
            //   ff7508               | push                dword ptr [ebp + 8]
            //   e8????????           |                     
            //   83c40c               | add                 esp, 0xc
            //   8bd8                 | mov                 ebx, eax
            //   66ff4b04             | dec                 word ptr [ebx + 4]
            //   66ff4e04             | dec                 word ptr [esi + 4]

        $sequence_4 = { e8???????? 59 59 ff45f4 837dd800 743e 837dec00 }
            // n = 7, score = 100
            //   e8????????           |                     
            //   59                   | pop                 ecx
            //   59                   | pop                 ecx
            //   ff45f4               | inc                 dword ptr [ebp - 0xc]
            //   837dd800             | cmp                 dword ptr [ebp - 0x28], 0
            //   743e                 | je                  0x40
            //   837dec00             | cmp                 dword ptr [ebp - 0x14], 0

        $sequence_5 = { 5b c6043080 3bc3 40 730e }
            // n = 5, score = 100
            //   5b                   | pop                 ebx
            //   c6043080             | mov                 byte ptr [eax + esi], 0x80
            //   3bc3                 | cmp                 eax, ebx
            //   40                   | inc                 eax
            //   730e                 | jae                 0x10

        $sequence_6 = { 8b4508 ebeb 8b7df8 eb1b 0fb707 }
            // n = 5, score = 100
            //   8b4508               | mov                 eax, dword ptr [ebp + 8]
            //   ebeb                 | jmp                 0xffffffed
            //   8b7df8               | mov                 edi, dword ptr [ebp - 8]
            //   eb1b                 | jmp                 0x1d
            //   0fb707               | movzx               eax, word ptr [edi]

        $sequence_7 = { eb01 4f ff75fc e8???????? 59 }
            // n = 5, score = 100
            //   eb01                 | jmp                 3
            //   4f                   | dec                 edi
            //   ff75fc               | push                dword ptr [ebp - 4]
            //   e8????????           |                     
            //   59                   | pop                 ecx

        $sequence_8 = { 57 50 e8???????? 8b4604 ff760c }
            // n = 5, score = 100
            //   57                   | push                edi
            //   50                   | push                eax
            //   e8????????           |                     
            //   8b4604               | mov                 eax, dword ptr [esi + 4]
            //   ff760c               | push                dword ptr [esi + 0xc]

        $sequence_9 = { 837e0800 7446 8b06 85c0 7440 8b0f 894e04 }
            // n = 7, score = 100
            //   837e0800             | cmp                 dword ptr [esi + 8], 0
            //   7446                 | je                  0x48
            //   8b06                 | mov                 eax, dword ptr [esi]
            //   85c0                 | test                eax, eax
            //   7440                 | je                  0x42
            //   8b0f                 | mov                 ecx, dword ptr [edi]
            //   894e04               | mov                 dword ptr [esi + 4], ecx

    condition:
        7 of them and filesize < 139264
}

Referências

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

Anonymous Sudan alega a remoção bem-sucedida do primeiro site e aplicativo do banco de Abu Dhabi por meio de ataques de DDoS
May 29, 2023
Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI
January 17, 2024

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
Agende uma demonstração
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more