Os hackers estão fingindo ser uma empresa de segurança cibernética para bloquear todo o seu PC

À medida que os hackers criam novas maneiras de atacar, nem mesmo nomes confiáveis ​​podem ser aceitos pelo valor de face. Desta vez, um ataque de resgate como serviço (RaaS) está sendo usado para se passar por um fornecedor de segurança cibernética chamado Sophos.

O RaaS, conhecido como SophosEncrypt, pode controlar seus arquivos – ou até mesmo todo o seu PC – e exige pagamento para descriptografá-los.

Inicialmente relatado pelo MalwareHunterTeam no Twitter, o ransomware agora foi reconhecido pela Sophos. O pensamento inicial era que isso poderia ter sido um exercício de equipe vermelha da empresa de segurança cibernética, que é uma forma de teste em que uma equipe de especialistas tenta violar o sistema de segurança de uma organização para ver como as defesas resistem a ataques. No entanto, como se vê, SophosEncrypt não tem nada a ver com a Sophos, além de roubar seu nome, talvez para adicionar mais gravidade e urgência para que as pessoas paguem.

“Encontramos isso no VT (Virus Total) anteriormente e estamos investigando. Nossas descobertas preliminares mostram que o Sophos InterceptX protege contra essas amostras de ransomware”, disse a Sophos em um tweet , referindo-se à sua ferramenta proprietária de proteção de endpoint.

Atualmente não está claro como o RaaS se espalha, mas alguns dos métodos mais comuns incluem e-mails de phishing, sites maliciosos ou anúncios pop-up e vulnerabilidades de software. O BleepingComputer relata que a operação de ransomware está ativa no momento e detalha como o criptografador de arquivos opera.

O criptografador requer um token associado à vítima, e esse token é posteriormente verificado online antes que o ataque possa ser realizado. No entanto, os pesquisadores descobriram que isso pode ser contornado desativando as conexões de rede. Assim que a ferramenta estiver operacional, ela dá ao invasor a opção de criptografar determinados arquivos ou até mesmo todo o dispositivo. Os arquivos criptografados usam a extensão “.sophos”.

Como você pode ver na captura de tela acima, a vítima é solicitada a entrar em contato com os invasores para descriptografar seus arquivos. Sem surpresa, o pagamento é feito por meio de criptomoeda, que é muito mais difícil de rastrear e perseguir para as autoridades do que uma simples transferência bancária. O papel de parede da área de trabalho do Windows também é alterado neste ponto, alertando o usuário de que seus arquivos foram criptografados. Ele usa o nome e o logotipo da Sophos.

A Sophos conseguiu rastrear algumas informações sobre os invasores. Ele disse em seu relatório : “O endereço está associado há mais de um ano ao comando e controle do Cobalt Strike e a ataques automatizados que tentam infectar computadores voltados para a Internet com software de mineração de criptografia”.

O que você pode fazer para se manter seguro em um momento em que os ataques de ransomware estão aumentando ? O conselho é o mesmo de sempre – tenha cuidado e não aceite arquivos de pessoas que você não conhece. Lembre-se de que até mesmo pessoas com quem você é amigo podem ser invadidas e espalhar arquivos maliciosos sob o pretexto de enviar algo a você. Além disso, lembre-se de que nenhuma empresa legítima de segurança cibernética jamais criptografaria seus arquivos e pediria que você pagasse por sua recuperação, então proteja-se – se algo parece errado, provavelmente é.