新的SophosEncrypt勒索軟件冒充知名網絡安全公司Sophos

網絡安全供應商Sophos近日被一種名為SophosEncrypt的新型勒索軟件即服務冒充，威脅分子打著這家公司的旗號實施攻擊活動。

MalwareHunterTeam昨天發現了這個勒索軟件，起初還以為是Sophos紅隊演習的一部分。

然而，Sophos X-Ops團隊在推特上表示，他們并沒有創建這個加密器，他們在調查其相關情況。

Sophos發推文聲稱：“我們早些時候在VT上發現了這個勒索軟件，一直在調查。我們的初步調查結果顯示，Sophos InterceptX可以抵御這些勒索軟件樣本。”

此外，ID Ransomware顯示了來自被感染受害者的一份提交，表明這起勒索軟件即服務活動處于活躍狀態。

雖然目前對RaaS活動及推廣方式知之甚少，但MalwareHunterTeam發現了一個加密器的樣本，讓我們可以快速了解它是如何運作的。

SophosEncrypt勒索軟件

勒索軟件加密器是用Rust編寫的，使用C:\Users\Dubinin\路徑作為其crate。在內部，勒索軟件被命名為“sophos_encrypt”，因此它被稱為SophosEncrypt，檢測結果已經被添加到了ID Ransomware中。

一旦執行，加密器提示勒索軟件加盟組織輸入與受害者相關的令牌，該令牌可能最初從勒索軟件的管理面板中獲取。

輸入令牌后，加密器將連接到179.43.154.137:21119，并驗證令牌是否有效。勒索軟件專家Michael Gillespie發現，可以通過禁用網卡來繞過這道驗證，從而實際上在離線狀態下運行加密器。

輸入有效的令牌后，加密器將提示勒索軟件加盟組織在加密設備時使用額外的信息。這些信息包括聯系郵箱、jabber地址和一個32個字符的密碼，Gillespie稱該密碼作為加密算法的一部分來使用。

然后，加密器將提示加盟組織加密一個文件或加密整個設備，如下所示。

圖1. 加密器在加密前提示信息（圖片來源：BleepingComputer）

在加密文件時，Gillespie告訴IT外媒，它使用帶PKCS# 7填充的AES256-CBC加密。

每個加密過的文件都會有已輸入的令牌、已輸入的電子郵件以及以.[[]].[[]].sophos這種格式添加到文件名后面的sophos擴展名。下面是測試加密中的情況。

圖2. SophosEncrypt加密的文件（圖片來源：BleepingComputer）

在文件被加密的每個文件夾中，勒索軟件將創建一封名為information.hta的勒索函，加密完成后它可自動開啟。

這封勒索函含有受害者的文件發生了什么，以及加盟組織在加密設備之前輸入的聯系信息。

圖3. SophosEncrypt勒索函（圖片來源：BleepingComputer）

勒索軟件還能夠改變Windows桌面壁紙，當前壁紙醒目地顯示它所冒充的“Sophos”品牌。

需要澄清的是，這張壁紙是由威脅分子創建的，與正規的Sophos網絡安全公司沒有一點關系。

圖4. SophosEncrypt壁紙（圖片來源：BleepingComputer）

加密器包含許多對位于http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion的Tor網站用。

這個Tor網站不是談判或數據泄露網站，更像是勒索軟件即服務活動的加盟組織面板。

圖5. 勒索軟件即服務加盟組織面板（圖片來源：BleepingComputer）

研究人員仍在分析SophosEncrypt，看看是否有任何漏洞可以免費恢復文件。

如果發現任何弱點或加密問題，我們會發布本文的更新內容。

在文章報道發表后，Sophos也發布了一份關于新的SophosEncrypt勒索軟件的報告。

據報告顯示，勒索軟件團伙的指揮和控制服務器（179.43.154.137）也與之前攻擊中使用的Cobalt Strike C2服務器有關。

Sophos的報告解釋：“此外，兩個樣本都含有一個硬編碼的IP地址（我們確實看到樣本連接到這樣一個地址）。”

“一年多來，這個地址一直與Cobalt Strike指揮和控制以及自動攻擊有關，這些攻擊試圖用加密貨幣挖掘軟件感染面向互聯網的計算機。”