Новият SophosEncrypt ransomware

Доставчикът на киберсигурност Sophos се сдоби с двойник –  нов ransomware-as-a-service, наречен SophosEncrypt, като участниците в заплахата използват името на компанията за своята операция.

Открит вчера от MalwareHunterTeam, първоначално се смяташе, че рансъмуерът е част от учение на червения екип на Sophos.

Екипът на Sophos X-Ops обаче съобщи в Twitter, че не е създал криптографа и че разследва пускането му.

„Открихме това във VT по-рано и провеждаме разследване. Предварителните ни констатации показват, че Sophos InterceptX предпазва от тези образци на ransomware“, съобщиха от Sophos в Twitter.

Освен това ID Ransomware показва едно изпращане от заразени жертви, което показва, че тази операция Ransomware-as-a-Service е активна.

Макар да се знае малко за операцията RaaS и за начина, по който тя се популяризира, образец на криптографа беше намерен от MalwareHunterTeam, което ни позволи да получим бърз поглед върху начина му на действие.

Изнудваческият софтуер SophosEncrypt

Криптографът на рансъмуера е написан на езика Rust и използва пътя ‘C:\Users\Dubinin\’ за своите клетки. Вътрешно рансъмуерът е наречен ‘sophos_encrypt’, така че е наречен SophosEncrypt, като откритията вече са добавени към ID Ransomware.

Когато се изпълни, криптографът подканва партньора да въведе токън, свързан с жертвата, който вероятно първо е извлечен от панела за управление на рансъмуера.

Когато токенът бъде въведен, криптографът ще се свърже с 179.43.154.137:21119 и ще провери дали токенът е валиден. Експертът по рансъмуер Майкъл Гилеспи установи, че е възможно да се заобиколи тази проверка, като се деактивират мрежовите карти, което на практика води до работа на криптографа офлайн.

Когато бъде въведен валиден токен, криптографът ще поиска от партньора на рансъмуера допълнителна информация, която да бъде използвана при криптирането на устройството.

Тази информация включва имейл за връзка, jabber адрес и 32-символна парола, която според Гилеспи се използва като част от алгоритъма за криптиране.

 

Източник: По материали от Интернет

Подобни публикации

4 октомври 2023

Киберсигурността: ключов фактор за настоящето и...

Месецът за повишаване на осведомеността за киберсигурността се отбе...
4 октомври 2023

Моделите на PyTorch са уязвими за изпълнение на...

Изследователи в областта на киберсигурността са разкрили множество ...
4 октомври 2023

Qualcomm издава кръпка за 3 нови нулеви дни

Производителят на чипове Qualcomm пусна актуализации за сигурност, ...
4 октомври 2023

Над 3 дузини зловредни пакети npm са насочени к...

Според констатации на Fortinet FortiGuard Labs в хранилището за пак...
4 октомври 2023

Милиони мейл сървъри на Exim са изложени на zer...

Критична уязвимост от типа „нулев ден“ във всички верси...
3 октомври 2023

Cyber Security Talks Bulgaria – ОКТОМВРИ 2023

На 10.10.2023 г. във Висшето военноморско училище в гр. Варна ще се...
3 октомври 2023

ФБР предупреждава за ръст на измамите с "фантом...

ФБР публикува съобщение за обществена услуга, в което предупреждава...
3 октомври 2023

Новият ASMCrypt Malware Loader лети под радара

Киберпрестъпници продават нов софтуер за криптиране и зареждане, на...
Бъдете социални
Още по темата
02/10/2023

Рансъмуер банди вече използ...

Бандите за изнудване сега се насочват...
02/10/2023

Motel One призна нарушение ...

Групата Motel One обяви, че е...
02/10/2023

LostTrust се ребрандира на ...

Смята се, че операцията LostTrust ransomware...
Последно добавени
04/10/2023

Киберсигурността: ключов фа...

Месецът за повишаване на осведомеността за...
04/10/2023

Моделите на PyTorch са уязв...

Изследователи в областта на киберсигурността са...
04/10/2023

Qualcomm издава кръпка за 3...

Производителят на чипове Qualcomm пусна актуализации...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!