Os hackers estão fingindo ser uma empresa de segurança cibernética para bloquear todo o seu PC
À medida que os hackers criam novas maneiras de atacar, nem mesmo nomes confiáveis podem ser aceitos pelo valor de face. Desta vez, um ataque de resgate como serviço (RaaS) está sendo usado para se passar por um fornecedor de segurança cibernética chamado Sophos.
O RaaS, conhecido como SophosEncrypt, pode controlar seus arquivos – ou até mesmo todo o seu PC – e exige pagamento para descriptografá-los.
Inicialmente relatado pelo MalwareHunterTeam no Twitter, o ransomware agora foi reconhecido pela Sophos. O pensamento inicial era que isso poderia ter sido um exercício de equipe vermelha da empresa de segurança cibernética, que é uma forma de teste em que uma equipe de especialistas tenta violar o sistema de segurança de uma organização para ver como as defesas resistem a ataques. No entanto, como se vê, SophosEncrypt não tem nada a ver com a Sophos, além de roubar seu nome, talvez para adicionar mais gravidade e urgência para que as pessoas paguem.
“Encontramos isso no VT (Virus Total) anteriormente e estamos investigando. Nossas descobertas preliminares mostram que o Sophos InterceptX protege contra essas amostras de ransomware”, disse a Sophos em um tweet , referindo-se à sua ferramenta proprietária de proteção de endpoint.
Atualmente não está claro como o RaaS se espalha, mas alguns dos métodos mais comuns incluem e-mails de phishing, sites maliciosos ou anúncios pop-up e vulnerabilidades de software. O BleepingComputer relata que a operação de ransomware está ativa no momento e detalha como o criptografador de arquivos opera.
O criptografador requer um token associado à vítima, e esse token é posteriormente verificado online antes que o ataque possa ser realizado. No entanto, os pesquisadores descobriram que isso pode ser contornado desativando as conexões de rede. Assim que a ferramenta estiver operacional, ela dá ao invasor a opção de criptografar determinados arquivos ou até mesmo todo o dispositivo. Os arquivos criptografados usam a extensão “.sophos”.
Como você pode ver na captura de tela acima, a vítima é solicitada a entrar em contato com os invasores para descriptografar seus arquivos. Sem surpresa, o pagamento é feito por meio de criptomoeda, que é muito mais difícil de rastrear e perseguir para as autoridades do que uma simples transferência bancária. O papel de parede da área de trabalho do Windows também é alterado neste ponto, alertando o usuário de que seus arquivos foram criptografados. Ele usa o nome e o logotipo da Sophos.
A Sophos conseguiu rastrear algumas informações sobre os invasores. Ele disse em seu relatório : “O endereço está associado há mais de um ano ao comando e controle do Cobalt Strike e a ataques automatizados que tentam infectar computadores voltados para a Internet com software de mineração de criptografia”.
O que você pode fazer para se manter seguro em um momento em que os ataques de ransomware estão aumentando ? O conselho é o mesmo de sempre – tenha cuidado e não aceite arquivos de pessoas que você não conhece. Lembre-se de que até mesmo pessoas com quem você é amigo podem ser invadidas e espalhar arquivos maliciosos sob o pretexto de enviar algo a você. Além disso, lembre-se de que nenhuma empresa legítima de segurança cibernética jamais criptografaria seus arquivos e pediria que você pagasse por sua recuperação, então proteja-se – se algo parece errado, provavelmente é.
