近日，市面上出現(xiàn)了一款名為SophosEncrypt的新型勒索軟件，該軟件與網(wǎng)絡(luò)安全廠商Sophos同名，因此有一些威脅行為者專(zhuān)門(mén)冒用該公司名稱(chēng)進(jìn)行一些非法行動(dòng)。

MalwareHunterTeam在本周一（7月17日）首次發(fā)現(xiàn)了這款勒索軟件，起初還以為它是 Sophos 紅隊(duì)演習(xí)的一部分。

但很快Sophos X-Ops團(tuán)隊(duì)就在推特上表明，他們并沒(méi)有創(chuàng)建該加密程序，且正在對(duì)此次事件進(jìn)行調(diào)查。

Sophos X-Ops團(tuán)隊(duì)表示，他們?cè)缧r(shí)候在VT上發(fā)現(xiàn)了這個(gè)勒索軟件并且一直在調(diào)查。但據(jù)初步調(diào)查結(jié)果顯示，Sophos InterceptX可以抵御這些勒索軟件樣本。

此外，ID勒索軟件顯示了一份受害者提交的報(bào)告，表明此勒索軟件目前仍處于活動(dòng)狀態(tài)。雖然對(duì)RaaS操作及其推廣方式知之甚少，但MalwareHunterTeam還是發(fā)現(xiàn)了一個(gè)加密器的樣本。

SophosEncrypt 勒索軟件

據(jù)悉，該勒索軟件的加密程序是用 Rust 編寫(xiě)的，并使用了 "C:\Users\Dubinin\"路徑作為其原型。 在內(nèi)部，該勒索軟件被命名為 "sophos_encrypt"，因此被稱(chēng)為SophosEncrypt，檢測(cè)結(jié)果已添加到ID Ransomware中。

執(zhí)行時(shí)，加密程序會(huì)提示聯(lián)盟成員輸入一個(gè)與受害者相關(guān)的令牌，該令牌可能首先從勒索軟件管理面板中獲取。

輸入令牌后，加密程序?qū)⑦B接到 179.43.154.137:21119 并驗(yàn)證令牌是否有效。 勒索軟件專(zhuān)家Michael Gillespie發(fā)現(xiàn)可以通過(guò)禁用網(wǎng)卡繞過(guò)這一驗(yàn)證，從而有效地離線(xiàn)運(yùn)行加密程序。輸入有效令牌后，加密器會(huì)提示勒索軟件聯(lián)盟在加密設(shè)備時(shí)使用其他信息，包括聯(lián)系人電子郵件、jabber 地址和 32 個(gè)字符的密碼，Gillespie稱(chēng)這也是加密算法的一部分。

然后，加密器會(huì)提示聯(lián)盟成員加密一個(gè)文件或加密整個(gè)設(shè)備，如下圖所示。

1689735608_64b751b8e5129089abbbf.png!small?1689735609486

加密器在加密前提示信息，來(lái)源：BleepingComputer BleepingComputer

在加密文件時(shí)，Gillespie告訴BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每個(gè)加密文件都會(huì)在文件名后附加輸入的令牌、輸入的電子郵件和sophos擴(kuò)展名，格式為：.[[[]].[[[]].sophos。下面是 BleepingComputer 的加密測(cè)試示例。

1689735703_64b7521778a6c21ace18e.png!small?1689735704067

被SophosEncrypt加密的文件，來(lái)源：BleepingComputer BleepingComputer

在每個(gè)文件被加密的文件夾中，勒索軟件都會(huì)創(chuàng)建一個(gè)名為 information.hta 的贖金說(shuō)明，加密完成后會(huì)自動(dòng)啟動(dòng)。該贖金說(shuō)明包含有關(guān)受害者文件遭遇情況的信息，以及關(guān)聯(lián)方在加密設(shè)備前輸入的聯(lián)系信息。

1689735825_64b7529165f69bd3731b8.png!small?1689735826767

SophosEncrypt 勒索信，來(lái)源：BleepingComputer BleepingComputer

該勒索軟件還能更改 Windows 桌面壁紙，壁紙會(huì)直接顯示為它所冒充的 "Sophos "品牌。

1689735899_64b752db3aff3cbd9f348.png!small?1689735899992

SophosEncrypt 壁紙，來(lái)源：BleepingComputer BleepingComputer

加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 網(wǎng)站。這個(gè) Tor 網(wǎng)站不是一個(gè)談判或數(shù)據(jù)泄漏網(wǎng)站，而似乎是勒索軟件即服務(wù)操作的附屬面板。

1689736041_64b753696a6d87848acf5.png!small?1689736042581

勒索軟件面板，來(lái)源：BleepingComputer BleepingComputer

Sophos研究人員對(duì) SophosEncrypt 惡意軟件進(jìn)行分析后發(fā)布了一份關(guān)于新的 SophosEncrypt 勒索軟件的報(bào)告。

該報(bào)告顯示，該勒索軟件團(tuán)伙位于 179.43.154.137 的命令和控制服務(wù)器與之前攻擊中使用的 Cobalt Strike C2 服務(wù)器有所關(guān)聯(lián)。

此外，兩個(gè)樣本都包含一個(gè)硬編碼 IP 地址，該地址在近一年多的時(shí)間內(nèi)一直與 Cobalt Strike 命令控制和自動(dòng)攻擊有關(guān)，這些攻擊還曾試圖用加密采礦軟件感染其他計(jì)算機(jī)。