Los piratas informáticos se hacen pasar por una empresa de ciberseguridad para bloquear toda su PC

Aranzulla de Los Pobres

A medida que los piratas informáticos encuentran nuevas formas de atacar, ni siquiera los nombres confiables pueden tomarse al pie de la letra. Esta vez, se está utilizando un ataque de rescate como servicio (RaaS) para hacerse pasar por un proveedor de ciberseguridad llamado Sophos.

El RaaS, conocido como SophosEncrypt, puede apoderarse de sus archivos, o incluso de toda su PC, y requiere un pago para descifrarlos.

"### Programa de cifrado – SOPHOS ###"
¿Ransomware de Sophos?
@SophosXOps pic.twitter.com/OSHV0PHCs8

– MalwareHunterTeam (@malwrhunterteam) 17 de julio de 2023

Informado inicialmente por MalwareHunterTeam en Twitter, el ransomware ahora ha sido reconocido por Sophos. La idea inicial fue que esto podría haber sido un ejercicio de equipo rojo por parte de la firma de seguridad cibernética, que es una forma de prueba en la que un equipo de expertos intenta violar el sistema de seguridad de una organización para ver cómo resisten las defensas contra los ataques. Sin embargo, resulta que SophosEncrypt no tiene nada que ver con Sophos, aparte de robar su nombre, tal vez para agregar más gravedad y urgencia para que la gente pague.

“Encontramos esto en VT (Virus Total) antes y hemos estado investigando. Nuestros hallazgos preliminares muestran que Sophos InterceptX protege contra estas muestras de ransomware”, dijo Sophos en un tweet , refiriéndose a su herramienta patentada de protección de puntos finales.

Actualmente no está claro cómo se propaga RaaS, pero algunos de los métodos más comunes incluyen correos electrónicos de phishing, sitios web maliciosos o anuncios emergentes y vulnerabilidades de software. BleepingComputer informa que la operación de ransomware está actualmente activa y detalla cómo funciona el cifrador de archivos.

El encriptador requiere un token asociado con la víctima, y ​​este token luego se verifica en línea antes de que se pueda llevar a cabo el ataque. Sin embargo, los investigadores descubrieron que esto se puede evitar desactivando las conexiones de red. Una vez que la herramienta está operativa, le da al atacante la opción de cifrar ciertos archivos o incluso todo el dispositivo. Los archivos cifrados luego usan la extensión “.sophos”.

Nota de rescate dejada por SophosEncrypt.

Como puede ver en la captura de pantalla anterior, se le pide a la víctima que se comunique con los atacantes para descifrar sus archivos. Como era de esperar, el pago se realiza a través de criptomonedas, que es mucho más difícil de rastrear y perseguir para las autoridades que una simple transferencia bancaria. El fondo de pantalla del escritorio en Windows también cambia en este punto, alertando al usuario que sus archivos han sido encriptados. Utiliza el nombre y el logotipo de Sophos.

Sophos ha podido rastrear cierta información sobre los atacantes. Dijo en su informe : "La dirección se ha asociado durante más de un año tanto con el comando y control de Cobalt Strike como con ataques automatizados que intentan infectar computadoras con acceso a Internet con software de criptominería".

¿Qué puede hacer para mantenerse seguro en un momento en que los ataques de ransomware van en aumento ? El consejo es el mismo de siempre: tenga cuidado y no acepte archivos de personas que no conoce. Tenga en cuenta que incluso las personas con las que es amigo pueden ser pirateadas y difundir archivos maliciosos con el pretexto de enviarle algo. Además, recuerde que ninguna empresa legítima de ciberseguridad encriptaría sus archivos y le pediría que pague por su recuperación, así que protéjase: si algo parece estar mal, probablemente sea así.