Хакеры притворяются фирмой по кибербезопасности, чтобы заблокировать весь ваш компьютер

Поскольку хакеры изобретают новые способы атак, даже заслуживающие доверия имена нельзя принимать за чистую монету. На этот раз атака «выкуп как услуга» (RaaS) используется для того, чтобы выдать себя за поставщика кибербезопасности под названием Sophos.

RaaS, называемый SophosEncrypt, может завладеть вашими файлами — или даже всем вашим компьютером — и требует оплаты за их расшифровку.

Первоначально MalwareHunterTeam сообщила в Твиттере, что программа-вымогатель теперь признана Sophos. Первоначальная мысль заключалась в том, что это могло быть упражнением красной команды фирмы по кибербезопасности, которое представляет собой форму тестирования, когда группа экспертов пытается взломать систему безопасности организации, чтобы увидеть, как защита выдерживает атаки. Однако, как выясняется, SophosEncrypt не имеет ничего общего с Sophos, кроме кражи его имени, возможно, для того, чтобы добавить больше серьезности и срочности для людей, чтобы заплатить.

«Мы обнаружили это ранее на VT (Virus Total) и провели расследование. Наши предварительные результаты показывают, что Sophos InterceptX защищает от этих образцов программ-вымогателей», — говорится в твите Sophos, имея в виду свой собственный инструмент защиты конечных точек.

В настоящее время неясно, как распространяется RaaS, но некоторые из наиболее распространенных методов включают фишинговые электронные письма, вредоносные веб-сайты или всплывающую рекламу, а также уязвимости программного обеспечения. BleepingComputer сообщает, что операция по вымогательству в настоящее время активна, и подробно описывает, как работает файловый шифратор.

Шифровальщику требуется токен, связанный с жертвой, и этот токен позже проверяется онлайн, прежде чем атака может быть выполнена. Однако исследователи обнаружили, что это можно обойти, отключив сетевые подключения. Как только инструмент заработает, он дает злоумышленнику возможность зашифровать определенные файлы или даже все устройство. Затем зашифрованные файлы используют расширение «.sophos».

Как вы можете видеть на скриншоте выше, жертву просят связаться с злоумышленниками, чтобы расшифровать их файлы. Неудивительно, что платеж осуществляется с помощью криптовалюты, которую властям гораздо сложнее отследить и преследовать, чем простой банковский перевод. На этом этапе также меняются обои рабочего стола в Windows, предупреждая пользователя о том, что его файлы были зашифрованы. Он использует имя и логотип Sophos.

Sophos удалось отследить некоторую информацию о злоумышленниках. В своем отчете говорится: «Этот адрес уже более года связан как с командно-административными, так и с автоматическими атаками Cobalt Strike, которые пытаются заразить компьютеры, подключенные к Интернету, программным обеспечением для майнинга криптовалюты».

Что вы можете сделать, чтобы оставаться в безопасности в то время, когда число атак программ-вымогателей растет ? Совет тот же, что и обычно — будьте осторожны и не принимайте файлы от незнакомых людей. Имейте в виду, что даже люди, с которыми вы дружите, могут быть взломаны и распространять вредоносные файлы под видом отправки вам чего-либо. Кроме того, помните, что ни одна законная компания по кибербезопасности никогда не зашифрует ваши файлы и не попросит вас заплатить за их восстановление, так что защитите себя — если что-то кажется неправильным, скорее всего, так оно и есть.