Η εταιρεία κυβερνοασφάλειας Sophos υποδύεται το νέο ransomware SophosEncrypt

Ο προμηθευτής κυβερνοασφάλειας Sophos πλαστοπροσωπείται από ένα νέο

ransomware

-as-a-

service

που ονομάζεται SophosEncrypt, με τους φορείς απειλών να χρησιμοποιούν το όνομα της εταιρείας για τη λειτουργία τους.

Ανακαλύφθηκε χθες από

MalwareHunterTeam

το ransomware αρχικά θεωρήθηκε ότι ήταν μέρος μιας άσκησης της κόκκινης ομάδας από τη Sophos.

Ωστόσο, η ομάδα του Sophos X-Ops έγραψε στο

Twitter

ότι δεν δημιούργησαν τον κρυπτογραφητή και ότι ερευνούν την κυκλοφορία του.

“Το βρήκαμε στο VT νωρίτερα και ερευνήσαμε. Τα προκαταρκτικά ευρήματά μας δείχνουν ότι το Sophos InterceptX προστατεύει από αυτά τα δείγματα ransomware.”

ανέβασε στο Twitter

Σοφός.

Επιπλέον, το ID Ransomware εμφανίζει μια υποβολή από μολυσμένα θύματα, υποδεικνύοντας ότι αυτή η λειτουργία Ransomware-as-a-Service είναι ενεργή.

Ενώ λίγα είναι γνωστά για τη λειτουργία RaaS και τον τρόπο προώθησης της, ένα δείγμα του κρυπτογραφητή βρέθηκε από το MalwareHunterTeam, επιτρέποντάς μας να ρίξουμε μια γρήγορη ματιά στον τρόπο λειτουργίας του.

Το SophosEncrypt ransomware

Το πρόγραμμα κρυπτογράφησης ransomware είναι γραμμένο σε Rust και χρησιμοποιεί τη διαδρομή ‘C:UsersDubinin’ για τα κιβώτια του. Εσωτερικά, το ransomware ονομάζεται «sophos_encrypt», επομένως έχει ονομαστεί SophosEncrypt, με ανιχνεύσεις που έχουν ήδη προστεθεί στο ID Ransomware.

Όταν εκτελείται, ο κρυπτογραφητής ζητά από τη θυγατρική να εισαγάγει ένα διακριτικό που σχετίζεται με το θύμα, το οποίο πιθανότατα θα ανακτηθεί πρώτα από τον πίνακα διαχείρισης ransomware.

Όταν εισάγεται ένα διακριτικό, ο κρυπτογραφητής θα συνδεθεί στο 179.43.154.137:21119 και θα επαληθεύσει εάν το διακριτικό είναι έγκυρο. Ο ειδικός ransomware, Michael Gillespie, βρήκε ότι είναι δυνατό να παρακάμψει αυτήν την επαλήθευση απενεργοποιώντας τις κάρτες δικτύου σας, εκτελώντας αποτελεσματικά τον κρυπτογράφηση εκτός σύνδεσης.

Όταν εισαχθεί ένα έγκυρο διακριτικό, ο κρυπτογραφητής θα ζητήσει από τη θυγατρική του ransomware να χρησιμοποιούνται πρόσθετες πληροφορίες κατά την κρυπτογράφηση της συσκευής.

Αυτές οι πληροφορίες περιλαμβάνουν ένα email επικοινωνίας, μια διεύθυνση jabber και έναν κωδικό πρόσβασης 32 χαρακτήρων, ο οποίος λέει ο Gillespie χρησιμοποιείται ως μέρος του αλγόριθμου κρυπτογράφησης.

Στη συνέχεια, ο κρυπτογραφητής θα ζητήσει από τη θυγατρική να κρυπτογραφήσει ένα αρχείο ή να κρυπτογραφήσει ολόκληρη τη συσκευή, όπως φαίνεται παρακάτω.

Κατά την κρυπτογράφηση αρχείων, ο Gillespie είπε στο BleepingComputer ότι χρησιμοποιεί κρυπτογράφηση AES256-CBC με padding PKCS#7.

Κάθε κρυπτογραφημένο αρχείο θα έχει το εισαγόμενο διακριτικό, το εισαγόμενο email και το

sophos

επέκταση προσαρτημένη στο όνομα ενός αρχείου με τη μορφή :.[[]].[[]].sophos. Αυτό φαίνεται παρακάτω σε μια δοκιμαστική κρυπτογράφηση από το BleepingComputer.

Σε κάθε φάκελο στον οποίο ένα αρχείο είναι κρυπτογραφημένο, το ransomware θα δημιουργήσει μια σημείωση λύτρων με το όνομα information.hta, η οποία εκκινείται αυτόματα όταν ολοκληρωθεί η κρυπτογράφηση.

Αυτό το σημείωμα λύτρων περιέχει πληροφορίες για το τι συνέβη στα αρχεία ενός θύματος και τα στοιχεία επικοινωνίας που εισήγαγε η συνδεδεμένη εταιρεία πριν από την κρυπτογράφηση της συσκευής.

Ο κρυπτογραφητής περιέχει πολλές αναφορές σε έναν ιστότοπο Tor που βρίσκεται στη διεύθυνση http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion.

Αυτός ο ιστότοπος Tor δεν είναι ιστότοπος διαπραγμάτευσης ή διαρροής δεδομένων, αλλά μάλλον αυτό που φαίνεται να είναι ο πίνακας συνεργατών για τη λειτουργία ransomware-as-a-service.

Οι ερευνητές εξακολουθούν να αναλύουν το SophosEncrypt για να δουν εάν τυχόν αδυναμίες θα μπορούσαν να επιτρέψουν την ανάκτηση αρχείων δωρεάν.

Εάν εντοπιστούν αδυναμίες ή προβλήματα κρυπτογράφησης, θα δημοσιεύσουμε μια ενημέρωση σε αυτό το άρθρο.