Доставчикът на киберсигурност Sophos се сдоби с двойник –  нов ransomware-as-a-service, наречен SophosEncrypt, като участниците в заплахата използват името на компанията за своята операция.

Открит вчера от MalwareHunterTeam, първоначално се смяташе, че рансъмуерът е част от учение на червения екип на Sophos.

Екипът на Sophos X-Ops обаче съобщи в Twitter, че не е създал криптографа и че разследва пускането му.

„Открихме това във VT по-рано и провеждаме разследване. Предварителните ни констатации показват, че Sophos InterceptX предпазва от тези образци на ransomware“, съобщиха от Sophos в Twitter.

Освен това ID Ransomware показва едно изпращане от заразени жертви, което показва, че тази операция Ransomware-as-a-Service е активна.

Макар да се знае малко за операцията RaaS и за начина, по който тя се популяризира, образец на криптографа беше намерен от MalwareHunterTeam, което ни позволи да получим бърз поглед върху начина му на действие.

Изнудваческият софтуер SophosEncrypt

Криптографът на рансъмуера е написан на езика Rust и използва пътя ‘C:\Users\Dubinin\’ за своите клетки. Вътрешно рансъмуерът е наречен ‘sophos_encrypt’, така че е наречен SophosEncrypt, като откритията вече са добавени към ID Ransomware.

Когато се изпълни, криптографът подканва партньора да въведе токън, свързан с жертвата, който вероятно първо е извлечен от панела за управление на рансъмуера.

Когато токенът бъде въведен, криптографът ще се свърже с 179.43.154.137:21119 и ще провери дали токенът е валиден. Експертът по рансъмуер Майкъл Гилеспи установи, че е възможно да се заобиколи тази проверка, като се деактивират мрежовите карти, което на практика води до работа на криптографа офлайн.

Когато бъде въведен валиден токен, криптографът ще поиска от партньора на рансъмуера допълнителна информация, която да бъде използвана при криптирането на устройството.

Тази информация включва имейл за връзка, jabber адрес и 32-символна парола, която според Гилеспи се използва като част от алгоритъма за криптиране.

 

Източник: По материали от Интернет

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
Бъдете социални
Още по темата
11/02/2025

120 хил. жертви са компроме...

В Бейнбридж, щата Джорджия, малката болница...
09/02/2025

Данни на 883 000 души са от...

Опустошителната кибератака, която извади от строя...
08/02/2025

Плащанията за рансъмуер нам...

Плащанията на рансъмуер, извършени през 2024...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!