Um ransomware de criptografia de arquivos baseado em Rust foi encontrado esta semana para se passar pela empresa de segurança cibernética Sophos como parte de sua operação.
Apelidado de ‘SophosEncrypt’, o malware está sendo oferecido sob o modelo de negócios ransomware como serviço (RaaS) e parece já ter sido usado em ataques maliciosos.
Após vários pesquisadores de segurança avisou do novo RaaS, Sophos disse estava ciente da personificação da marca e estava investigando a ameaça.
Depois analisando uma amostra SophosEncryptA Sophos revelou que a ameaça tem recursos além daqueles normalmente observados em ransomware, tornando-se “um trojan de acesso remoto de uso geral (RAT)” que também pode criptografar arquivos e gerar notas de resgate.
O malware, diz a Sophos, pode se comunicar com seus operadores por e-mail e usando a plataforma de mensagens instantâneas Jabber, e pode conectar o driver do teclado para registrar as teclas digitadas. Ele também abusa dos comandos WMI para criar o perfil do sistema.
“Como muitos outros ransomware, ele exclui uma lista de diretórios que impediriam a inicialização do sistema ou que conteriam arquivos sem importância se fossem criptografados. O ransomware também verifica as configurações de idioma no sistema e se recusa a executar se estiver configurado para usar o idioma russo”, explica Sophos.
De acordo com a Sophos, outra amostra do SophosEncrypt identificada carece de alguns desses recursos não ransomware. Ambos os exemplos, no entanto, contêm referências ao mesmo endereço Tor (.onion) relacionado a um servidor de comando e controle (C&C), embora nenhum deles use essa conexão.
A empresa de segurança cibernética também descobriu que ambas as amostras se conectam a um endereço IP codificado que foi previamente associado a um Cobalt Strike C&C e a ataques maliciosos que distribuem cripto-mineradores.
O malware, que é executado usando a linha de comando do Windows, acrescenta a extensão ‘.sophos’ aos arquivos criptografados e coloca uma nota de resgate em cada diretório afetado, na forma de um arquivo HTML Application (.hta).
“O ransomware também recupera um gráfico de um site público de biblioteca de imagens e o usa para alterar o papel de parede da área de trabalho do Windows para uma tela que diz ‘Sophos’. É incrível que isso não reproduz logotipos, cores ou marcas da Sophos, mas apresenta um logotipo de cadeado verde e instruções sobre como o alvo pode encontrar e usar a nota de resgate para entrar em contato com os invasores”, explica Sophos.