Grupo de ransomware usa nome da empresa de segurança Sophos

Empresa de segurança cibernética está tendo o seu nome usado por um novo grupo de ransomware como serviço (RaaS), autodenominado SophosEncrypt
Da Redação
19/07/2023

A empresa de segurança cibernética Sophos está tendo o seu nome usado por um novo grupo de ransomware como serviço (RaaS), autodenominado SophosEncrypt, em operações criminosas.

Descoberto ontem pelo MalwareHunterTeam, o ransomware foi inicialmente considerado parte de um exercício do red team da Sophos. No entanto, a equipe Sophos X-Ops tuitou que não criou o criptografador e que está investigando o grupo. 

“Encontramos isso no VT [virutalization technology] anteriormente e estamos investigando. Nossas descobertas preliminares mostram que o Sophos InterceptX protege contra essas amostras de ransomware”, tuitou a Sophos.

Além disso, o ID Ransomware — site gratuito que ajuda as vítimas a identificar qual ransomware pode ter criptografado seus arquivos — mostra um envio de vítimas infectadas, indicando que esta operação ransomware-as-a-service está ativa.

Embora pouco se saiba sobre a operação RaaS e como ela está sendo promovida, uma amostra do criptografador foi encontrada pelo MalwareHunterTeam, que mostra como ele opera. O criptografador/ransomware é escrito em linguagem Rust. Internamente, o ransomware é chamado de “sophos_encrypt”, por isso foi apelidado de SophosEncrypt, com detecções já adicionadas ao ID Ransomware.

Quando executado, o criptografador solicita que o afiliado insira um token associado à vítima que provavelmente foi recuperado no painel de gerenciamento do ransomware. Quando um token é inserido, o criptografador se conectará a 179.43.154.137:21119 e verificará se o token é válido. O especialista em ransomware Michael Gillespie, criador do ID Ransomware, descobriu que era possível contornar essa verificação desativando suas placas de rede, executando efetivamente o criptografador offline.

Veja isso
Sophos alerta usuários sobre exposição de dados em banco mal configurado
Sophos alerta para bug RCE em firewall explorado em ataques

Quando um token válido é inserido, o criptografador solicitará ao afiliado do ransomware informações adicionais a serem usadas ao criptografar o dispositivo. Essas informações incluem um e-mail de contato, endereço jabber e uma senha de 32 caracteres, que Gillespie diz ser usada como parte do algoritmo de criptografia. Depois, o criptografador pedirá que o afiliado criptografe um arquivo ou criptografe todo o dispositivo.

Conforme Gillespie disse ao BleepingComputer, cada arquivo criptografado terá o token e o e-mail inseridos e a extensão sophos anexada ao nome do arquivo no formato :.[[]].[[]].sophos. Em cada pasta em que um arquivo é criptografado, o ransomware cria uma nota de resgate chamada information.hta, que é iniciada automaticamente quando a criptografia é concluída.

A nota de resgate contém informações sobre o que aconteceu com os arquivos da vítima e as informações de contato inseridas pelo afiliado antes de criptografar o dispositivo. Os pesquisadores ainda estão analisando o SophosEncrypt para ver se algum ponto fraco pode permitir a recuperação de arquivos gratuitamente.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)