Хакеры используют название ИБ-компании Sophos для нового вымогателя

Британский ИБ-вендор Sophos столкнулся с необычным использованием своего названия. Хакеры назвали новую программу вымогатель, доступ к которой для личного использования можно приобрести на черном рынке, SophosEncrypt.

Обнаружившие вымогатель исследователи из MalwareHunterTeam сначала решили, что он создан корпоративной Red Team в рамках имитации кибератак. В итоге Sophos X-Ops пришлось спасать деловую репутацию. В заблокированном на территории РФ Twitter компания уверила пользователеЙ, что непричастна к созданию SophosEncrypt и напротив изучает его свойства.

Вымогатель создан на Rust и использует путь 'C:\Users\Dubinin\'. при запуске вымогатель создает связанный с жертвой токен, к которому можно получить доступ из панели управления ПО. При вводе токена программа обращается к 179.43.154.137:21119, чтобы подтвердить его валидность. После подтверждения токена вымогатель запрашивает дополнительную информацию для шифрования. Это контактный e-mail, адрес в Jabber и пароль из 32 символов. 

Для шифрования используется алгоритм AES256-CBC. После завершения процесса в имени каждого файла появляется расширение .sophos. Записка для владельца устройства включает контактный e-mail и требования выкупа в биткоинах. Уточняется, что сумма зависит от того, как быстро он отправит сообщение.