Доставчикът на киберсигурност Sophos се сдоби с двойник –  нов ransomware-as-a-service, наречен SophosEncrypt, като участниците в заплахата използват името на компанията за своята операция.

Открит вчера от MalwareHunterTeam, първоначално се смяташе, че рансъмуерът е част от учение на червения екип на Sophos.

Екипът на Sophos X-Ops обаче съобщи в Twitter, че не е създал криптографа и че разследва пускането му.

„Открихме това във VT по-рано и провеждаме разследване. Предварителните ни констатации показват, че Sophos InterceptX предпазва от тези образци на ransomware“, съобщиха от Sophos в Twitter.

Освен това ID Ransomware показва едно изпращане от заразени жертви, което показва, че тази операция Ransomware-as-a-Service е активна.

Макар да се знае малко за операцията RaaS и за начина, по който тя се популяризира, образец на криптографа беше намерен от MalwareHunterTeam, което ни позволи да получим бърз поглед върху начина му на действие.

Изнудваческият софтуер SophosEncrypt

Криптографът на рансъмуера е написан на езика Rust и използва пътя ‘C:\Users\Dubinin\’ за своите клетки. Вътрешно рансъмуерът е наречен ‘sophos_encrypt’, така че е наречен SophosEncrypt, като откритията вече са добавени към ID Ransomware.

Когато се изпълни, криптографът подканва партньора да въведе токън, свързан с жертвата, който вероятно първо е извлечен от панела за управление на рансъмуера.

Когато токенът бъде въведен, криптографът ще се свърже с 179.43.154.137:21119 и ще провери дали токенът е валиден. Експертът по рансъмуер Майкъл Гилеспи установи, че е възможно да се заобиколи тази проверка, като се деактивират мрежовите карти, което на практика води до работа на криптографа офлайн.

Когато бъде въведен валиден токен, криптографът ще поиска от партньора на рансъмуера допълнителна информация, която да бъде използвана при криптирането на устройството.

Тази информация включва имейл за връзка, jabber адрес и 32-символна парола, която според Гилеспи се използва като част от алгоритъма за криптиране.

 

Източник: По материали от Интернет

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...

Защо традиционният HAZOP не е достатъчен

HAZOP (Hazard and Operability Study) е утвърден метод за идентифици...

Преосмисляне на OT киберсигурността

Въпреки че оперативните технологии (OT) стоят в основата на критичн...
13 юли 2025

Големите езикови модели съветват жените да иска...

Ново изследване разкри сериозни признаци на полова дискриминация в ...
Бъдете социални
Още по темата
11/07/2025

Руски баскетболист арестува...

Руският професионален баскетболист Даниил Касаткин бе...
10/07/2025

Ingram Micro започна поетап...

Ingram Micro, глобален дистрибутор на ИТ...
09/07/2025

M&S потвърди, че е жерт...

Marks & Spencer (M&S) потвърди, че...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!