Se ha detectado una nueva variante de ransomware de la familia Phobos conocida como Faust, propagada a través de un archivo XLAM que descarga datos codificados en Base64 desde Gitea. Faust no tiene como objetivo industrias o regiones específicas y utiliza un ataque sin archivo para implementar el shellcode malicioso para la encriptación de archivos. Esta variante tiene la capacidad de mantener la persistencia en un entorno y crea múltiples hilos para una ejecución eficiente. Faust es la última adición a varias variantes de ransomware de la familia Phobos, incluyendo Eking, Eight, Elbie, Devos, y 8Base.
A su vez, Albabat, Kasseika, Kuiper, Mimus y NONAME también han ganado fuerza como nuevos ransomware. Kuiper, por ejemplo, se atribuye al actor de amenazas RobinHood y es el primer malware basado en Rust distribuido en forma de software fraudulento. NONAME también es notable por el hecho de que su sitio de fuga de datos imita al del grupo LockBit.
Recientemente, se ha observado que los actores del ransomware están usando de nuevo TeamViewer como vector de acceso inicial para ingresar a los entornos objetivos e intentar desplegar cifradores basados en el constructor de ransomware LockBit. Los actores de amenazas buscan cualquier medio disponible de acceso a endpoints individuales para causar estragos y posiblemente extender aún más su alcance en la infraestructura.
En las últimas semanas, LockBit 3.0 también se ha distribuido en forma de archivos de Microsoft Word disfrazados de currículos que apuntan a entidades en Corea del Sur, según el Centro de Inteligencia de Seguridad AhnLab (ASEC). Los hallazgos de ciberseguridad siguen siendo relevantes ya que las amenazas de ransomware siguen siendo una preocupación importante para muchas empresas y hay una necesidad continua de conciencia y medidas de protección contra estos ataques.
