À mesure que les pirates informatiques inventent de nouvelles méthodes d’attaque, même les noms dignes de confiance ne peuvent pas être pris au pied de la lettre. Cette fois, une attaque de type rançon en tant que service (RaaS) est utilisée pour usurper l'identité d'un fournisseur de cybersécurité appelé Sophos.
Le RaaS, appelé SophosEncrypt, peut récupérer vos fichiers – ou même l'intégralité de votre PC – et nécessite un paiement pour les décrypter.
"### Programme de chiffrement – SOPHOS ###"
Le rançongiciel Sophos ?
🤔@SophosXOpspic.twitter.com/OSHV0PHCs8-MalwareHunterTeam (@malwrhunterteam) 17 juillet 2023
Initialement rapporté par MalwareHunterTeam sur Twitter, le rançongiciel a maintenant été reconnu par Sophos. L’idée initiale était qu’il s’agissait peut-être d’un exercice d’équipe rouge mené par la société de cybersécurité, qui est une forme de test. où une équipe d’experts tente de percer le système de sécurité d’une organisation pour voir comment les défenses résistent aux attaques. Cependant, il s'avère que SophosEncrypt n'a rien à voir avec Sophos, à part voler son nom, peut-être pour ajouter plus de gravité et d'urgence au paiement.
Vidéos recommandées
« Nous avons découvert cela plus tôt sur VT (Virus Total) et avons enquêté. Nos résultats préliminaires montrent que Sophos InterceptX protège contre ces échantillons de ransomwares », a déclaré Sophos dans un communiqué. tweeter, faisant référence à son outil propriétaire de protection des points de terminaison.
On ne sait pas encore exactement comment le RaaS se propage, mais certaines des méthodes les plus courantes incluent les e-mails de phishing, les sites Web malveillants ou les publicités contextuelles, ainsi que les vulnérabilités logicielles. BipOrdinateur rapporte que l’opération du ransomware est actuellement active et donne des détails sur le fonctionnement du chiffreur de fichiers.
Le chiffreur nécessite un jeton associé à la victime, et ce jeton est ensuite vérifié en ligne avant que l'attaque puisse être menée. Cependant, les chercheurs ont découvert que ce problème pouvait être contourné en désactivant les connexions réseau. Une fois l’outil opérationnel, il donne le choix à l’attaquant de chiffrer certains fichiers voire l’intégralité de l’appareil. Les fichiers cryptés utilisent alors l'extension « .sophos ».
Comme vous pouvez le voir sur la capture d'écran ci-dessus, il est ensuite demandé à la victime de contacter les attaquants pour décrypter leurs fichiers. Sans surprise, le paiement s’effectue via une cryptomonnaie, bien plus difficile à suivre et à poursuivre pour les autorités qu’un simple virement bancaire. Le fond d'écran du bureau de Windows est également modifié à ce stade, alertant l'utilisateur que ses fichiers ont été cryptés. Il utilise le nom Sophos.
Sophos a pu retrouver certaines informations sur les attaquants. Il a dit dans son rapport, "L'adresse est associée depuis plus d'un an à la fois aux attaques de commande et de contrôle Cobalt Strike et aux attaques automatisées qui tentent d'infecter les ordinateurs connectés à Internet avec un logiciel de crypto-minage."
Que pouvez-vous faire pour rester en sécurité à un moment où les attaques de ransomwares se multiplient? Le conseil est le même que d’habitude: soyez prudent et n’acceptez aucun fichier provenant de personnes que vous ne connaissez pas. Gardez à l’esprit que même les personnes avec qui vous êtes amis peuvent être piratées et diffuser des fichiers malveillants sous prétexte de vous envoyer quelque chose. De plus, n’oubliez pas qu’aucune entreprise de cybersécurité légitime ne cryptera jamais vos fichiers et ne vous demandera de payer pour leur récupération, alors protégez-vous: si quelque chose vous semble anormal, c’est probablement le cas.
Recommandations des rédacteurs
- Si vous possédez une carte mère Gigabyte, votre PC peut télécharger furtivement des logiciels malveillants
- Les pirates utilisent une nouvelle astuce sournoise pour infecter vos appareils
- AMD Ryzen Master a un bug qui peut permettre à quelqu'un de prendre le contrôle total de votre PC
- Les pirates tombent à un nouveau plus bas en volant des comptes Discord lors d'attaques de ransomware
- Cette extension Chrome permet aux pirates de s'emparer de votre PC à distance
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
