По мере того как хакеры придумывают новые способы атак, даже надежные имена нельзя принимать за чистую монету. На этот раз атака с использованием выкупа как услуги (RaaS) используется для выдачи себя за поставщика услуг кибербезопасности под названием Sophos.
RaaS, называемая SophosEncrypt, может завладеть вашими файлами – или даже всем вашим ПК – и потребовать оплаты за их расшифровку.
Изначально MalwareHunterTeam сообщил об этой программе в Twitter, а теперь компания Sophos признала ее наличие. Первоначально предполагалось, что это могли быть учения «красной команды», занимающейся вопросами кибербезопасности. В ходе этих учений группа экспертов пытается взломать систему безопасности организации, чтобы проверить, как она защищена от атак. Однако, как выяснилось, SophosEncrypt не имеет никакого отношения к компании Sophos, кроме кражи ее названия, возможно, для придания большей серьезности и побуждения людей к оплате.
Ранее мы обнаружили это на сайте VT (Virus Total) и провели расследование. Наши предварительные результаты показывают, что Sophos InterceptX защищает от этих образцов ransomware», – говорится в сообщении компании Sophos, имеющей в виду свой собственный инструмент защиты конечных точек.
В настоящее время неизвестно, как распространяется RaaS, но некоторые из наиболее распространенных методов включают фишинговые письма, вредоносные веб-сайты или всплывающую рекламу, а также уязвимости программного обеспечения. В сообщении BleepingComputer говорится о том, что в настоящее время программа-вымогатель активна, и приводится несколько подробностей о том, как работает шифровальщик файлов.
Шифровальщику требуется токен, связанный с жертвой, который впоследствии проверяется в Интернете, прежде чем атака может быть осуществлена. Однако исследователи обнаружили, что эту процедуру можно обойти, отключив сетевые соединения. После того как инструмент начинает работать, злоумышленник получает возможность зашифровать определенные файлы или даже все устройство. Зашифрованные файлы имеют расширение «.sophos».
Как видно на приведенном выше скриншоте, жертве предлагается связаться со злоумышленниками для расшифровки своих файлов. Неудивительно, что оплата производится с помощью криптовалюты, которую гораздо сложнее отследить и преследовать властям, чем простой банковский перевод. В этот момент также изменяются обои рабочего стола в Windows, предупреждая пользователя о том, что его файлы были зашифрованы. При этом используется название и логотип Sophos.
Sophos удалось получить некоторую информацию о злоумышленниках. В своем отчете компания заявила: «Этот адрес уже более года ассоциируется как с командно-административными, так и с автоматическими атаками Cobalt Strike, которые пытаются заразить компьютеры, выходящие в Интернет».
Что можно сделать, чтобы обезопасить себя в условиях участившихся атак вымогателей? Совет тот же, что и обычно: будьте осторожны и не принимайте никаких файлов от незнакомых людей. Помните, что даже те, с кем вы дружите, могут быть взломаны и распространять вредоносные файлы под видом того, что они вам что-то прислали. Кроме того, помните, что ни одна легальная компания, занимающаяся кибербезопасностью, не станет шифровать ваши файлы и просить вас заплатить за их восстановление, поэтому защищайтесь – если что-то кажется не так, то, скорее всего, так оно и есть.тером
Комментарии (0)