La société italienne Advanced Systems attaquée par le cybergang Phobos
Le 27 décembre 2022, la société italienne Advanced Systems subissait une attaque par ransomware du cybergang Phobos. Peu de temps avant, c’est la commune de Sarno, au sud-est de Naples qui était touché par une cyberattaque. Red Hot Cyber rapporte la similitude entre les modes de fonctionnement. Le ransomware Phobos fait son apparition en 2018 et menace les serveurs des entreprises. Il use des protocoles de bureau à distance mal configurés. Il tient son nom du dieu grec de la peur, sa structure est comparable à Crysis et Dharma.
La commune de Sarno est victime d’une attaque de dernière génération relate la compagnie Advanced Systems spa, qui gère le système informatique du Palazzo di Città. L’affection de certains serveurs de l’entreprise est avérée, indique la société dans son communiqué. L’incident signalé aux forces de l’ordre, les procédures requises par le protocole de sécurité interne ont été engagés. « Une task force d’experts a été constituée, qui, avec l’aide de l’entreprise Swascan srl de Tinetxta spa, leader du marché des services GDPR, analyse l’incident, vérifie les serveurs et prépare les actions nécessaires pour rétablir la fonctionnalité normale des applications fournies. »
Le 29 décembre 2022, la société Advanced Systems avait remis en fonctionnement les services concernés. Cependant certaines opérations se déroulent encore. Si le confinement des systèmes infectés est réalisé, l’identification est en cours. C’est le cas pour l’analyse des journaux « d’après les premiers éléments, il n’y a aucune preuve d’exfiltration. »
Le ransomware Phobos
Les cybermalfaiteurs se servent de deux vecteurs d’attaques. Le premier à travers les campagnes de phishing, les personnes usant de ces lignes de codes volent des informations sur les comptes et les mots de passe, ou incite la cible à ouvrir une pièce jointe malveillante. Mais également en obtenant un accès direct à l’aide du protocole de bureau à distance (RDP). Le port spécifique visé par le ransomware est le port 3389, relate Avast. Des botnets scannent les systèmes qui ont gardé ce port ouvert. Ensuite, l’occasion est donnée aux cybercriminels de deviner les identifiants de connexion en utilisant un moyen comme l’attaque par force brute. La suite est documentée de nombreuses fois par les entreprises, hôpitaux, universités, en France, aux États-Unis … partout sur terre.