När hackare kommer på nya sätt att attackera kan inte ens pålitliga namn tas för nominellt värde. Den här gången används en RaaS-attack (ransom-as-a-service) för att imitera en cybersäkerhetsleverantör som heter Sophos.
RaaS, kallad SophosEncrypt, kan ta tag i dina filer – eller till och med hela din dator – och kräver betalning för att få dem dekrypterade.
"### Krypteringsprogram – SOPHOS ###"
Sophos ransomware?
🤔@SophosXOpspic.twitter.com/OSHV0PHCs8— MalwareHunterTeam (@malwrhunterteam) 17 juli 2023
Ursprungligen rapporterades av MalwareHunterTeam på Twitter, den ransomware har nu erkänts av Sophos. Den första tanken var att detta kan ha varit en röd lagövning av cybersäkerhetsföretaget, vilket är en form av testning där ett team av experter försöker bryta mot en organisations säkerhetssystem för att se hur försvaret håller emot attacker. Men som det visar sig har SophosEncrypt ingenting att göra med Sophos, annat än att stjäla dess namn, kanske för att lägga till mer allvar och brådska för folk att betala.
Rekommenderade videor
"Vi hittade det här på VT (Virus Total) tidigare och har undersökt det. Våra preliminära fynd visar att Sophos InterceptX skyddar mot dessa ransomware-prover, säger Sophos i en tweeta, med hänvisning till dess proprietära endpoint-skyddsverktyg.
Det är för närvarande oklart hur RaaS sprider sig, men några av de vanligaste metoderna inkluderar nätfiske-e-postmeddelanden, skadliga webbplatser eller popup-annonser och sårbarheter i programvara. Bleeping Computer rapporterar att ransomware-operationen för närvarande är aktiv, och den går in i detalj på hur filkrypteringen fungerar.
Kryptören kräver en token som är kopplad till offret, och denna token verifieras senare online innan attacken kan utföras. Men forskare fann att detta kan kringgås genom att inaktivera nätverksanslutningar. När verktyget väl är i drift ger det angriparen valet att kryptera vissa filer eller till och med hela enheten. De krypterade filerna använder sedan tillägget ".sophos."
Som du kan se i skärmdumpen ovan, uppmanas offret sedan att kontakta angriparna för att dekryptera deras filer. Föga överraskande görs betalningen genom kryptovaluta, vilket är mycket svårare att spåra och fullfölja för myndigheterna än en enkel banköverföring. Skrivbordsbakgrunden i Windows ändras också vid denna tidpunkt, vilket varnar användaren om att deras filer har krypterats. Den använder namnet Sophos.
Sophos har kunnat spåra en del information om angriparna. Det stod i sin Rapportera, "Adressen har varit associerad i mer än ett år med både Cobalt Strike-kommando-och-kontroll och automatiserade attacker som försöker infektera datorer som vänder sig mot internet med programvara för kryptomining."
Vad kan du göra för att vara säker vid en tidpunkt då ransomware-attacker ökar? Råden är desamma som vanligt - var försiktig och acceptera inga filer från personer du inte känner. Tänk på att även människor du är vän med kan bli hackade och sprida skadliga filer under sken av att skicka något till dig. Dessutom, kom ihåg att inget legitimt cybersäkerhetsföretag någonsin skulle kryptera dina filer och be dig betala för deras återställning, så skydda dig själv - om något verkar fel är det förmodligen det.
Redaktörens rekommendationer
- Om du har ett Gigabyte-moderkort kan din dator ladda ner skadlig programvara smygande
- Hackare använder ett listigt nytt knep för att infektera dina enheter
- AMD Ryzen Master har en bugg som kan låta någon ta full kontroll över din PC
- Hackare sjunker till nytt låg genom att stjäla Discord-konton i ransomware-attacker
- Det här Chrome-tillägget låter hackare ta din dator på distans
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
