Κακόβουλοι παράγοντες χρησιμοποιούν το όνομα της εταιρείας κυβερνοασφάλειας Sophos για να προωθήσουν ένα νέο ransomware-as-a-service, που ονομάζεται SophosEncrypt. Χθες ανακαλύφθηκε ένα ransomware από το MalwareHunterTeam. Αρχικά υπήρξε η υπόθεση ότι ήταν μέρος μιας άσκησης της κόκκινης ομάδας της Sophos.
Δείτε επίσης: Sophos: Άλλη μια εταιρεία που ανακοινώνει απολύσεις
Η ομάδα του Sophos X-Ops ανέφερε στο Twitter ότι δεν δημιούργησαν τον κρυπτογραφητή και ότι ερευνούν την κυκλοφορία του. Πρόσθετα, το ID Ransomware δείχνει μια υποβολή από θύματα που έχουν μολυνθεί, που υποδεικνύει τη λειτουργία του Ransomware-as-a-service. Παρόλο που είναι ελάχιστα γνωστό πως λειτουργεί το RaaS και πως προωθείται, ανακαλύφθηκε ένα δείγμα του κρυπτογραφητή από την ομάδα MalwareHunterTeam. Αυτό μας επιτρέπει να δούμε τον τρόπο που λειτουργεί.
Το πρόγραμμα κρυπτογράφησης ransomware γράφτηκε σε Rust και χρησιμοποιεί τη διαδρομή ‘C:\Users\Dubinin\‘ για την αποθήκευση των αρχείων που κρυπτογραφεί. Το ransomware ονομάζεται “SophosEncrypt” εσωτερικά και έχει ανιχνευτεί από το ID Ransomware με αυτή την ονομασία.
Όταν εκτελείται, ο κρυπτογραφητής ζητά από τη θυγατρική εταιρεία να εισάγει ένα μοναδικό κλειδί που σχετίζεται με το θύμα, το οποίο πιθανόν θα αποκτηθεί πρώτα από τον πίνακα διαχείρισης του ransomware.
Όταν εισάγετε ένα διακριτικό, ο κρυπτογραφητής θα συνδεθεί στη διεύθυνση 179.43.154.137:21119 και θα επαληθεύσει αν το διακριτικό είναι έγκυρο. Ο ειδικός στο ransomware, Michael Gillespie, ανακάλυψε ότι μπορείτε να απενεργοποιήσετε τις κάρτες δικτύου σας για να παρακάμψετε την επαλήθευση και να κρυπτογραφήσετε τα αρχεία σας εκτός σύνδεσης.
Δείτε ακόμα: Sophos Firewall: Ευπάθεια θέτει σε κίνδυνο χιλιάδες συσκευές
Όταν εισαχθεί ένα έγκυρο κλειδί, ο κρυπτογραφητής θα ζητήσει από το ransomware να χρησιμοποιούνται πρόσθετες πληροφορίες κατά τη διαδικασία κρυπτογράφησης της συσκευής.
Αυτές οι πληροφορίες περιέχουν ένα email επικοινωνίας, μια διεύθυνση jabber και έναν κωδικό πρόσβασης 32 χαρακτήρων. Σύμφωνα με τον Gillespie, ο κωδικός αυτός χρησιμοποιείται ως μέρος του αλγορίθμου κρυπτογράφησης. Στη συνέχεια, ο κρυπτογραφητής θα ζητήσει από τη θυγατρική να κρυπτογραφήσει ένα αρχείο ή να κρυπτογραφήσει ολόκληρη τη συσκευή, όπως φαίνεται παρακάτω.
Κάθε κρυπτογραφημένο αρχείο θα έχει προσαρτημένα το διακριτικό που δώσατε, το email σας και την επέκταση “sophos” στο όνομά του, σε μορφή [διακριτικό].[email].[ονομα αρχείου].[επέκταση].sophos.
Σε κάθε φάκελο που περιέχει ένα κρυπτογραφημένο αρχείο, το ransomware θα δημιουργήσει ένα αρχείο με όνομα information.hta που περιέχει την απαίτηση λύτρων και θα εκκινείται αυτόματα μόλις ολοκληρωθεί η κρυπτογράφηση.
Αυτό το σημείωμα λύτρων περιέχει πληροφορίες σχετικά με το τι συνέβη στα αρχεία του θύματος και τα στοιχεία επικοινωνίας που προσθέτονταν από τη συνδεδεμένη εταιρεία πριν από την κρυπτογράφηση της συσκευής. Το ransomware μπορεί να αλλάξει την ταπετσαρία επιφάνειας εργασίας των Windows. Η τρέχουσα ταπετσαρία είναι έντονη και εμφανίζει την επωνυμία «Sophos», αλλά είναι ψεύτικη.
Δείτε επίσης: Sophos Firewall: Κρίσιμη ευπάθεια χρησιμοποιείται από hackers
Οι ερευνητές εξετάζουν το SophosEncrypt επιπλέον, για να διερευνήσουν εάν υπάρχουν αδυναμίες που θα μπορούσαν να οδηγήσουν στη δωρεάν ανάκτηση αρχείων. Σε περίπτωση που ανακαλυφθεί αδυναμία ή προβλήματα στην κρυπτογράφηση, θα αναρτηθεί ανακοίνωση.
Το RaaS λειτουργεί σαν ένα μοντέλο μάρκετινγκ , που οι χάκερ πληρώνουν ένα τέλος για την ενοικίαση ransomware από έναν πάροχο. Το τέλος ποικίλλει ανάλογα με το επίπεδο ελέγχου. Ορισμένοι πάροχοι προσφέρουν ένα πλήρες πακέτο ransomware, ενώ άλλοι προσφέρουν προσαρμόσιμες επιλογές. Οι χάκερ διανέμουν το ransomware μέσω διαφόρων μεθόδων, συμπεριλαμβανομένων των email phishing και των κιτ εκμετάλλευσης.
