La Polizia Giapponese e il Laboratorio F6 hanno reso disponibili nuovi Decryptor gratuiti per i ransomware Phobos e 8base.
Il ransomware Phobos, individuato per la prima volta nell'ottobre 2017 e ampiamente diffuso dal 2019, è diventato uno dei programmi ransomware più noti e utilizzati degli ultimi anni. Phobos opera attraverso un modello di Ransomware-as-a-Service (RaaS), permettendo a chiunque di noleggiare strumenti di attacco in cambio di una percentuale del riscatto. Questo modello ha contribuito alla sua vasta diffusione, rendendolo responsabile di numerosi attacchi contro aziende in tutto il mondo. Tipicamente, gli attacchi Phobos avvengono tramite l'infiltrazione nelle reti attraverso servizi di accesso remoto vulnerabili (come RDP), la crittografia dei file utente e aziendali e la successiva richiesta di riscatto, spesso con messaggi personalizzati e minacce di perdita completa dei dati.
Nel 2023, un gruppo di affiliati ha lanciato l'operazione 8base, utilizzando un encryptor Phobos modificato. A differenza di altri affiliati, questo gruppo si è dedicato alla doppia estorsione, crittografando i file e rubando dati, minacciando di rilasciarli in caso di mancato pagamento del riscatto.
Nel 2024 un cittadino russo sospettato di essere l'amministratore dell'operazione Phobos è stato estradato dalla Corea del Sud agli Stati Uniti per affrontare le accuse
La lotta contro il ransomware Phobos ha visto importanti progressi quest'anno: l'operazione Phobos ha subito un'interruzione significativa grazie a un'operazione internazionale coordinata delle forze dell'ordine, che ha portato al sequestro di 27 server e all'arresto di quattro cittadini russi sospettati di guidare il gruppo ransomware 8base.
La lotta contro il ransomware Phobos ha visto importanti progressi quest'anno: l'operazione Phobos ha subito un'interruzione significativa grazie a un'operazione internazionale coordinata delle forze dell'ordine, che ha portato al sequestro di 27 server e all'arresto di quattro cittadini russi sospettati di guidare il gruppo ransomware 8base.
Grazie alle informazioni ottenute da queste operazioni, la polizia giapponese ha rilasciato un decryptor gratuito per le organizzazioni e gli individui i cui file sono stati crittografati dai ransomware Phobos e 8base. Il decryptor è disponibile per il download dal sito web della polizia giapponese (www.npa.go.jp/english/bureau/cyber/ransomdamagerecovery.html), con istruzioni anche in inglese, ed è distribuito anche da Europol e FBI sulla piattaforma NoMoreRansom.
Alcuni browser web, inclusi Google Chrome e Mozilla Firefox, possono rilevare il tool come un malware ma si tratta di un falso positivo. Il tool non è dannoso e decifra con successo i file crittografati dalle versioni recenti degli encryptor. Il decryptor supporta attualmente le estensioni ".phobos", ".8base", ".elbie", ".faust" e ".LIZARD", ma la polizia giapponese suggerisce che potrebbe supportare anche altre estensioni.
Parallelamente, il laboratorio di analisi forense e malware digitale F6 ha introdotto un proprio strumento per decifrare i dati crittografati dal ransomware Phobos: PhobosDecryptor. Questa utility è progettata per le aziende, offrendo un metodo gratuito e sicuro per recuperare i file. Lo sviluppo di F6 è una risposta al decryptor alternativo rilasciato dalle forze dell'ordine giapponesi, ma si distingue per la sua ampia compatibilità, superando le limitazioni della versione giapponese che non supporta le versioni obsolete di Windows. Il team di F6 ha pubblicato non solo lo strumento, ma anche una documentazione dettagliata sulla gestione di diverse famiglie di ransomware, inclusi materiali sulla decrittazione, l'analisi del comportamento del malware e raccomandazioni per la protezione.
PhDec Decryptor
- Eseguire il download di PhDec Decryptor da www.npa.go.jp/english/bureau/cyber/ransomdamagerecovery.html o da NoMoreRansom. Il tool viene distribuito all'interno di un file .zip, quindi una volta eseguito il download estrarre il contenuto del file.
FIG 1 - Download PhDec Decryptor - Per poter utilizzare il decryptor è necessario leggere i Termini di servizio e accettarli cliccando sul pulsante Agree.
FIG 2 - Termini di Servizio - Se viene visualizzata la seguente finestra di dialogo relativa alla disabilitazione del limite dei 260 caratteri dei path, cliccare sul pulsante OK.
FIG 3 - Richiesta di conferma di disabilitazione del limite dei 260 caratteri per il filepath - Accettando la disabilitazione del limite dei 260 caratteri, potrebbe essere richiesto di confermare la modifica al registro di sistema. Cliccare su Sì per proseguire.
FIG 4 - Consentire all'app di procedere con la modifica - A questo punto viene visualizzata la finestra di dialogo che conferma la disabilitazione del limite e viene chiesto di riavviare il decryptor.
FIG 5 - Limite lunghezza filepath disabilitato - Riavviando PhDec viene richiesto nuovamente di accettare i Termini di servizio, dopodiché verrà visualizzata la schermata principale del decryptor. In questa schermata sarà possibile selezionare la cartella contenente i dati da decriptare (verranno decriptati anche i file presenti nelle sottocartelle) o specificare un singolo file. Oltra alla cartella/file da decryptare sarà necessario specificare anche una cartella di output in cui verranno salvati i file decriptati.
FIG 6 - PhDec Decryptor - A questo punto basterà cliccare sul pulsante Decrypt e attendere il termine dell'operazione. Verrà visualizzato un breve report contenente alcune informazioni:
Target file(s): Numero di file da analizzare.
Successful file(s): numero di file decrittografati con successo.
Failed file(s): numero di file che non è stato possibile decrittografare.
Untouched file(s):numero di file non elaborati.
Unsupported file(s): numero di file esclusi (file danneggiati, ecc.)
PhobosDecryptor
- Eseguire il download di PhobosDecryptor da github.com/f6-dfir/Ransomware/tree/main/Phobos/PhobosDecryptor.
- Scompattare il file .7z. Al suo interno sono presenti 2 file PhobosDecryptor.exe e PhobosDecryptor64.exe a seconda della versione del Sistema Operativo (a 32 o 64 bit) su cui verranno eseguiti.
- La sintassi è molto semplice
PhobosDecryptor [-all] [-r] [-d] [<PATH1>] [<PATH2>] ... [<PATHN>]
-all - Scan all fixed disks.
<PATH1>, <PATH2>, ... <PATHN> - paths to scan.
-r - Replace existing files.
-d - Delete encrypted files.
Conclusioni
Il rilascio di questi nuovi strumenti di decrittazione rappresenta un passo significativo nella lotta contro il ransomware Phobos, offrendo alle aziende colpite una possibilità concreta di recupero senza dover cedere ai ricatti dei cybercriminali. Strumenti come quello sviluppato da F6 si distinguono per la loro ampia compatibilità e per l'approccio responsabile che include documentazione dettagliata e risorse utili per la prevenzione futura.Il caso Phobos sottolinea ancora una volta l'importanza non solo di reagire agli attacchi, ma anche di investire nella sicurezza preventiva: aggiornare costantemente le infrastrutture IT, ridurre la superficie di attacco ed educare gli utenti sui rischi legati all'uso di servizi di accesso remoto non protetti. In definitiva, questi strumenti non sono solo una risposta tecnica a un problema concreto, ma anche un segnale importante per rafforzare la resilienza collettiva contro le minacce ransomware in continua evoluzione. La sicurezza si conferma una responsabilità condivisa tra ricercatori, aziende e utenti finali.