Le fournisseur de cybersécurité Sophos se fait passer pour un nouveau ransomware-as-a-service appelé SophosEncrypt, les acteurs de la menace utilisant le nom de l’entreprise pour leur opération.
Découvert hier par MalwareHunterTeam, le ransomware était initialement pensé pour faire partie d’un exercice d’équipe rouge par Sophos.
Cependant, l’équipe Sophos X-Ops a tweeté qu’elle n’avait pas créé le chiffreur et qu’elle enquêtait sur son lancement.
« Nous avons trouvé cela sur VT plus tôt et avons enquêté. Nos conclusions préliminaires montrent que Sophos InterceptX protège contre ces échantillons de ransomware », a tweeté Sophos.
De plus, ID Ransomware montre une soumission de victimes infectées, indiquant que cette opération Ransomware-as-a-Service est active.
Bien que l’on sache peu de choses sur l’opération RaaS et sur la manière dont elle est promue, un échantillon du chiffreur a été trouvé par MalwareHunterTeam, ce qui nous permet d’avoir un aperçu rapide de son fonctionnement.
Le rançongiciel SophosEncrypt
Le chiffreur de ransomware est écrit en Rust et utilise le chemin ‘C:\Users\Dubinin\’ pour ses caisses. En interne, le ransomware est nommé « sophos_encrypt », il a donc été surnommé SophosEncrypt, avec des détections déjà ajoutées à ID Ransomware.
Lorsqu’il est exécuté, le chiffreur invite l’affilié à entrer un jeton associé à la victime qui est probablement récupéré en premier à partir du panneau de gestion des rançongiciels.
Lorsqu’un jeton est saisi, le chiffreur se connecte à 179.43.154.137:21119 et vérifie si le jeton est valide. L’expert en ransomware Michael Gillespie a découvert qu’il était possible de contourner cette vérification en désactivant vos cartes réseau, exécutant efficacement le chiffreur hors ligne.
Lorsqu’un jeton valide est entré, le chiffreur demandera à l’affilié du rançongiciel des informations supplémentaires à utiliser lors du chiffrement de l’appareil.
Ces informations comprennent un e-mail de contact, une adresse jabber et un mot de passe de 32 caractères, qui, selon Gillespie, sont utilisés dans le cadre de l’algorithme de cryptage.
Le chiffreur demandera alors à l’affilié de chiffrer un fichier ou de chiffrer l’ensemble de l’appareil, comme indiqué ci-dessous.
Lors du cryptage des fichiers, Gillespie a déclaré à Breachtrace qu’il utilisait le cryptage AES256-CBC avec un rembourrage PKCS#7.
Chaque fichier chiffré aura le jeton saisi, l’e-mail saisi et l’extension sophos ajoutée au nom d’un fichier au format :.[[]].[[]].sophos. Ceci est illustré ci-dessous dans un test de cryptage par Breachtrace.
Dans chaque dossier où un fichier est crypté, le ransomware créera une note de rançon nommée information.hta, qui est automatiquement lancée lorsque le cryptage est terminé.
Cette note de rançon contient des informations sur ce qui est arrivé aux fichiers d’une victime et les informations de contact saisies par l’affilié avant de crypter l’appareil.
Le chiffreur contient de nombreuses références à un site Tor situé à http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion.
Ce site Tor n’est pas un site de négociation ou de fuite de données, mais plutôt ce qui semble être le panneau d’affiliation pour l’opération ransomware-as-a-service.
Les chercheurs analysent toujours SophosEncrypt pour voir si des faiblesses pourraient permettre la récupération gratuite de fichiers.
Si des faiblesses ou des problèmes de cryptage sont détectés, nous publierons une mise à jour de cet article.