近日，市面上出現(xiàn)了一款名為SophosEncrypt的新型勒索軟件，該軟件與網(wǎng)絡(luò)安全廠商Sophos同名，因此有一些威脅行為者專門冒用該公司名稱進(jìn)行一些非法行動。

MalwareHunterTeam在本周一（7月17日）首次發(fā)現(xiàn)了這款勒索軟件，起初還以為它是 Sophos 紅隊演習(xí)的一部分。

但很快Sophos X-Ops團(tuán)隊就在推特上表明，他們并沒有創(chuàng)建該加密程序，且正在對此次事件進(jìn)行調(diào)查。

Sophos X-Ops團(tuán)隊表示，他們早些時候在VT上發(fā)現(xiàn)了這個勒索軟件并且一直在調(diào)查。但據(jù)初步調(diào)查結(jié)果顯示，Sophos InterceptX可以抵御這些勒索軟件樣本。

此外，ID勒索軟件顯示了一份受害者提交的報告，表明此勒索軟件目前仍處于活動狀態(tài)。雖然對RaaS操作及其推廣方式知之甚少，但MalwareHunterTeam還是發(fā)現(xiàn)了一個加密器的樣本。

SophosEncrypt 勒索軟件

據(jù)悉，該勒索軟件的加密程序是用 Rust 編寫的，并使用了 "C:\Users\Dubinin\"路徑作為其原型。 在內(nèi)部，該勒索軟件被命名為 "sophos_encrypt"，因此被稱為SophosEncrypt，檢測結(jié)果已添加到ID Ransomware中。

執(zhí)行時，加密程序會提示聯(lián)盟成員輸入一個與受害者相關(guān)的令牌，該令牌可能首先從勒索軟件管理面板中獲取。

輸入令牌后，加密程序?qū)⑦B接到 179.43.154.137:21119 并驗證令牌是否有效。 勒索軟件專家Michael Gillespie發(fā)現(xiàn)可以通過禁用網(wǎng)卡繞過這一驗證，從而有效地離線運行加密程序。輸入有效令牌后，加密器會提示勒索軟件聯(lián)盟在加密設(shè)備時使用其他信息，包括聯(lián)系人電子郵件、jabber 地址和 32 個字符的密碼，Gillespie稱這也是加密算法的一部分。

然后，加密器會提示聯(lián)盟成員加密一個文件或加密整個設(shè)備，如下圖所示。

1689735608_64b751b8e5129089abbbf.png!small?1689735609486

加密器在加密前提示信息，來源：BleepingComputer BleepingComputer

在加密文件時，Gillespie告訴BleepingComputer，它使用了AES256-CBC加密和PKCS#7填充。每個加密文件都會在文件名后附加輸入的令牌、輸入的電子郵件和sophos擴展名，格式為：.[[[]].[[[]].sophos。下面是 BleepingComputer 的加密測試示例。

1689735703_64b7521778a6c21ace18e.png!small?1689735704067

被SophosEncrypt加密的文件，來源：BleepingComputer BleepingComputer

在每個文件被加密的文件夾中，勒索軟件都會創(chuàng)建一個名為 information.hta 的贖金說明，加密完成后會自動啟動。該贖金說明包含有關(guān)受害者文件遭遇情況的信息，以及關(guān)聯(lián)方在加密設(shè)備前輸入的聯(lián)系信息。

1689735825_64b7529165f69bd3731b8.png!small?1689735826767

SophosEncrypt 勒索信，來源：BleepingComputer BleepingComputer

該勒索軟件還能更改 Windows 桌面壁紙，壁紙會直接顯示為它所冒充的 "Sophos "品牌。

1689735899_64b752db3aff3cbd9f348.png!small?1689735899992

SophosEncrypt 壁紙，來源：BleepingComputer BleepingComputer

加密程序中多次提到位于 http://xnfz2jv5fk6dbvrsxxf3dloi6by3agwtur2fauydd3hwdk4vmm27k7ad.onion 的 Tor 網(wǎng)站。這個 Tor 網(wǎng)站不是一個談判或數(shù)據(jù)泄漏網(wǎng)站，而似乎是勒索軟件即服務(wù)操作的附屬面板。

1689736041_64b753696a6d87848acf5.png!small?1689736042581

勒索軟件面板，來源：BleepingComputer BleepingComputer

Sophos研究人員對 SophosEncrypt 惡意軟件進(jìn)行分析后發(fā)布了一份關(guān)于新的 SophosEncrypt 勒索軟件的報告。

該報告顯示，該勒索軟件團(tuán)伙位于 179.43.154.137 的命令和控制服務(wù)器與之前攻擊中使用的 Cobalt Strike C2 服務(wù)器有所關(guān)聯(lián)。

此外，兩個樣本都包含一個硬編碼 IP 地址，該地址在近一年多的時間內(nèi)一直與 Cobalt Strike 命令控制和自動攻擊有關(guān)，這些攻擊還曾試圖用加密采礦軟件感染其他計算機。