Хакеры начали использовать бренд ИБ-компании Sophos в атаках программ-вымогателей
Изображение: freestocks (unsplash)
Хакеры начали использовать имя крупной компании Sophos, работающей в сфере информационной безопасности, для проведения кибератак с вымогательством. Эта одна из крупнейших в мире ИБ-компаний на текущий момент является объектом подражания для киберпреступников.
Операторы вымогательского ПО, которые распространяют свой продукт по модели «шифровальщик как услуга» («Ransomware-as-a-service»), активно используют имя SophosEncrypt.
Специалисты по информационной безопасности из команды MalwareHunterTeam, исследующие действия этой киберпреступной группы, заявили, что первоначально подумали, что компания Sophos самостоятельно запустила операцию «ред тиминга».
Но в Sophos опровергли эти предположения, заявив, что никакого отношения к вымогательскому программному обеспечению компания не имеет. В связи с этим, как уточняется, в Sophos уже началось полноценное расследование кибератак с использованием вредоноса под названием SophosEncrypt.
В официальном заявлении компании Sophos говорится, что её специалисты ранее обнаружили образец соответствующего вредоноса на сервисе VirusTotal и с тех пор проводится полноценное расследование. Предварительные результаты свидетельствуют о том, что продукт Sophos InterceptX способен защитить от образцов этой программы-шифровальщика.
По информации специалистов, программа-вымогатель SophosEncrypt, написанная на языке Rust, использует путь C:UsersDubinin для хранения своих файлов. После того как вредонос будет запущен, он предлагает оператору ввести токен жертвы, который можно, как предполагается, изначально получить на панели управления вымогательским ПО.
Для проверки актуальности указанных данных, вредоносное ПО подключается к адресу 179.43.154.137:21119. Но эксперты MalwareHunterTeam указали на то, что эту проверку можно обойти, если просто отключиться от интернета. Тогда программа-вымогатель начнёт функционировать в оффлайн-режиме.
Оператору необходимо указать email-адрес, Jabber и 32-значный пароль (учетные данные используются в качестве части алгоритма шифрования). Затем программа-вымогатель предлагает выполнить шифрование отдельных файлов или всего устройства полностью.
Вредоносное ПО использует шифрование AES256-CBC, а к зашифрованным файлам добавляет расширение .Sophos. Журналисты отмечают, что компания по информационной безопасности Sophos уже подготовила собственный отчет, который посвящен деятельности этой киберпреступной группы, использующей имя их организации.
Источник: cisoclub.ru