Empresa de cibersegurança Sophos é personificada por novo ransomware SophosEncrypt
19 de Julho de 2023

O fornecedor de cibersegurança Sophos está sendo personificado por um novo ransomware como serviço chamado SophosEncrypt, com os atores de ameaças usando o nome da empresa para sua operação.

Descoberto ontem pela MalwareHunterTeam, inicialmente pensou-se que o ransomware fazia parte de um exercício de red team da Sophos.

No entanto, a equipe Sophos X-Ops twittou que não criaram o programa de criptografia e que estão investigando seu lançamento.

"Encontramos isso no VT mais cedo e temos investigado.

Nossos achados preliminares mostram que o Sophos InterceptX protege contra essas amostras de ransomware," twittou a Sophos.

Além disso, ID Ransomware mostra uma submissão de vítimas infectadas, indicando que essa operação de Ransomware como Serviço está ativa.

Embora se sabe pouco sobre a operação RaaS e como está sendo promovida, uma amostra do programa de criptografia foi encontrada pela MalwareHunterTeam, nos permitindo ter uma rápida visão de como opera.

O programa de criptografia do ransomware é escrito em Rust e usa o caminho 'C:\Users\Dubinin\' para seus arquivos.

Internamente, o ransomware é chamado de 'sophos_encrypt', então foi apelidado de SophosEncrypt, com detecções já adicionadas ao ID Ransomware.

Quando executado, o programa de criptografia solicita ao afiliado para inserir um token associado à vítima que provavelmente é primeiro obtido do painel de gerenciamento de ransomware.

Quando um token é inserido, o programa de criptografia se conectará a 179.43.154.137:21119 e verificará se o token é válido.

O especialista em ransomware Michael Gillespie descobriu que é possível contornar essa verificação desativando suas placas de rede, executando efetivamente o programa de criptografia offline.

]Quando um token válido é inserido, o programa de criptografia solicitará ao afiliado de ransomware mais informações a serem usadas ao criptografar o dispositivo.

Essas informações incluem um e-mail de contato, endereço jabber e uma senha de 32 caracteres, que Gillespie diz ser usada como parte do algoritmo de criptografia.

O programa de criptografia, então, pedirá ao afiliado para criptografar um arquivo ou criptografar todo o dispositivo, conforme mostrado abaixo.

Ao criptografar arquivos, Gillespie disse ao BleepingComputer que usa criptografia AES256-CBC com preenchimento PKCS#7.

Cada arquivo criptografado terá o token inserido, o e-mail inserido e a extensão sophos anexada ao nome do arquivo no formato: .[[]].[[]].sophos.

Em cada pasta que um arquivo é criptografado, o ransomware criará uma nota de resgate chamada information.hta, que é lançada automaticamente quando a criptografia é finalizada.

Na nota de resgate contém informações sobre o que aconteceu aos arquivos da vítima e as informações de contato inseridas pelo afiliado antes de criptografar o dispositivo.

O ransomware também tem a capacidade de alterar o papel de parede do desktop do Windows, com o papel de parede atual exibindo em negrito a marca 'Sophos' que está personificando.

O programa de criptografia contém inúmeras referências a um site Tor.

Este site Tor não é um site de negociação ou vazamento de dados, mas sim o que parece ser o painel de afiliados para a operação de ransomware como serviço.

Os pesquisadores ainda estão analisando o SophosEncrypt para ver se alguma fraqueza poderia permitir a recuperação de arquivos gratuitamente.

Se alguma fraqueza, ou problemas de criptografia, forem encontrados, publicaremos uma atualização neste artigo.

A Sophos também divulgou um relatório sobre o novo ransomware SophosEncrypt.

De acordo com o relatório, o servidor de comando e controle da gangue de ransomware também está ligado aos servidores C2 de Cobalt Strike usados em ataques anteriores.

"Além disso, ambas as amostras contêm um endereço IP fixo (um que vimos as amostras se conectarem)," explica o relatório da Sophos.

"O endereço tem sido associado por mais de um ano com o comando e controle Cobalt Strike e ataques automatizados que tentam infectar computadores voltados para a internet com software de criptomineração."

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...