0
0
Empresa de segurança cibernética está tendo o seu nome usado por um novo grupo de ransomware como serviço (RaaS), autodenominado SophosEncrypt
A empresa de segurança cibernética Sophos está tendo o seu nome usado por um novo grupo de ransomware como serviço (RaaS), autodenominado SophosEncrypt, em operações criminosas.
Descoberto ontem pelo MalwareHunterTeam, o ransomware foi inicialmente considerado parte de um exercício do red team da Sophos. No entanto, a equipe Sophos X-Ops tuitou que não criou o criptografador e que está investigando o grupo.
“Encontramos isso no VT [virutalization technology] anteriormente e estamos investigando. Nossas descobertas preliminares mostram que o Sophos InterceptX protege contra essas amostras de ransomware”, tuitou a Sophos.
Além disso, o ID Ransomware — site gratuito que ajuda as vítimas a identificar qual ransomware pode ter criptografado seus arquivos — mostra um envio de vítimas infectadas, indicando que esta operação ransomware-as-a-service está ativa.
Embora pouco se saiba sobre a operação RaaS e como ela está sendo promovida, uma amostra do criptografador foi encontrada pelo MalwareHunterTeam, que mostra como ele opera. O criptografador/ransomware é escrito em linguagem Rust. Internamente, o ransomware é chamado de “sophos_encrypt”, por isso foi apelidado de SophosEncrypt, com detecções já adicionadas ao ID Ransomware.
Quando executado, o criptografador solicita que o afiliado insira um token associado à vítima que provavelmente foi recuperado no painel de gerenciamento do ransomware. Quando um token é inserido, o criptografador se conectará a 179.43.154.137:21119 e verificará se o token é válido. O especialista em ransomware Michael Gillespie, criador do ID Ransomware, descobriu que era possível contornar essa verificação desativando suas placas de rede, executando efetivamente o criptografador offline.
Veja isso
Sophos alerta usuários sobre exposição de dados em banco mal configurado
Sophos alerta para bug RCE em firewall explorado em ataques
Quando um token válido é inserido, o criptografador solicitará ao afiliado do ransomware informações adicionais a serem usadas ao criptografar o dispositivo. Essas informações incluem um e-mail de contato, endereço jabber e uma senha de 32 caracteres, que Gillespie diz ser usada como parte do algoritmo de criptografia. Depois, o criptografador pedirá que o afiliado criptografe um arquivo ou criptografe todo o dispositivo.
Conforme Gillespie disse ao BleepingComputer, cada arquivo criptografado terá o token e o e-mail inseridos e a extensão sophos anexada ao nome do arquivo no formato :.[[]].[[]].sophos. Em cada pasta em que um arquivo é criptografado, o ransomware cria uma nota de resgate chamada information.hta, que é iniciada automaticamente quando a criptografia é concluída.
A nota de resgate contém informações sobre o que aconteceu com os arquivos da vítima e as informações de contato inseridas pelo afiliado antes de criptografar o dispositivo. Os pesquisadores ainda estão analisando o SophosEncrypt para ver se algum ponto fraco pode permitir a recuperação de arquivos gratuitamente.
FONTE: CISO ADVISOR