Les pirates prétendent être une entreprise de cybersécurité pour verrouiller tout votre PC

Alors que les pirates informatiques proposent de nouvelles façons d'attaquer, même les noms dignes de confiance ne peuvent être pris au pied de la lettre. Cette fois, une attaque de rançon en tant que service (RaaS) est utilisée pour se faire passer pour un fournisseur de cybersécurité appelé Sophos.

Le RaaS, appelé SophosEncrypt, peut s'emparer de vos fichiers – ou même de l'ensemble de votre PC – et nécessite un paiement pour les décrypter.

Initialement signalé par MalwareHunterTeam sur Twitter, le ransomware a maintenant été reconnu par Sophos. L'idée initiale était qu'il s'agissait peut-être d'un exercice d'équipe rouge par la société de cybersécurité, qui est une forme de test où une équipe d'experts tente de violer le système de sécurité d'une organisation pour voir comment les défenses résistent aux attaques. Cependant, il s'avère que SophosEncrypt n'a rien à voir avec Sophos, à part voler son nom, peut-être pour ajouter plus de gravité et d'urgence pour les gens à payer.

«Nous avons trouvé cela sur VT (Virus Total) plus tôt et avons enquêté. Nos résultats préliminaires montrent que Sophos InterceptX protège contre ces échantillons de rançongiciels », a déclaré Sophos dans un tweet , faisant référence à son outil propriétaire de protection des terminaux.

On ignore actuellement comment le RaaS se propage, mais certaines des méthodes les plus courantes incluent les e-mails de phishing, les sites Web malveillants ou les publicités contextuelles et les vulnérabilités logicielles. BleepingComputer signale que l'opération de ransomware est actuellement active et explique en détail le fonctionnement du crypteur de fichiers.

Le chiffreur nécessite un jeton associé à la victime, et ce jeton est ensuite vérifié en ligne avant que l'attaque puisse être effectuée. Cependant, les chercheurs ont découvert que cela pouvait être contourné en désactivant les connexions réseau. Une fois l'outil opérationnel, il donne le choix à l'attaquant de chiffrer certains fichiers ou même l'ensemble de l'appareil. Les fichiers chiffrés utilisent alors l'extension « .sophos ».

Comme vous pouvez le voir dans la capture d'écran ci-dessus, la victime est alors invitée à contacter les attaquants pour décrypter leurs fichiers. Sans surprise, le paiement est effectué par crypto-monnaie, ce qui est beaucoup plus difficile à suivre et à poursuivre pour les autorités qu'un simple virement bancaire. Le fond d'écran de Windows est également modifié à ce stade, alertant l'utilisateur que ses fichiers ont été cryptés. Il utilise le nom et le logo Sophos.

Sophos a pu retrouver certaines informations sur les attaquants. Il a déclaré dans son rapport : "L'adresse est associée depuis plus d'un an à la fois aux attaques de commande et de contrôle Cobalt Strike et aux attaques automatisées qui tentent d'infecter les ordinateurs connectés à Internet avec un logiciel de crypto-mining."

Que pouvez-vous faire pour rester en sécurité à un moment où les attaques de ransomwares sont en augmentation ? Le conseil est le même que d'habitude – soyez prudent et n'acceptez aucun fichier de personnes que vous ne connaissez pas. Gardez à l'esprit que même les personnes avec lesquelles vous êtes amis peuvent être piratées et diffuser des fichiers malveillants sous prétexte de vous envoyer quelque chose. De plus, rappelez-vous qu'aucune entreprise de cybersécurité légitime ne chiffrerait jamais vos fichiers et ne vous demanderait de payer pour leur récupération, alors protégez-vous – si quelque chose semble anormal, c'est probablement le cas.