Estás leyendo la publicación: Los piratas informáticos se hacen pasar por una empresa de ciberseguridad para bloquear toda su PC
A medida que los piratas informáticos idean nuevas formas de atacar, ni siquiera los nombres confiables pueden tomarse al pie de la letra. Esta vez, se utiliza un ataque de rescate como servicio (RaaS) para hacerse pasar por un proveedor de ciberseguridad llamado Sophos.
El RaaS, conocido como SophosEncrypt, puede apoderarse de sus archivos, o incluso de toda su PC, y requiere un pago para descifrarlos.
Inicialmente reportado por MalwareHunterTeam en Twitter, el ransomware ahora ha sido reconocido por Sophos. La idea inicial fue que esto podría haber sido un ejercicio del equipo rojo de la empresa de ciberseguridad, que es una forma de prueba en la que un equipo de expertos intenta violar el sistema de seguridad de una organización para ver cómo resisten las defensas contra los ataques. Sin embargo, resulta que SophosEncrypt no tiene nada que ver con Sophos, aparte de robar su nombre, tal vez para añadir más gravedad y urgencia a que la gente pague.
“Encontramos esto en VT (Virus Total) anteriormente y hemos estado investigando. Nuestros hallazgos preliminares muestran que Sophos InterceptX protege contra estas muestras de ransomware”, dijo Sophos en un Píorefiriéndose a su herramienta patentada de protección de terminales.
Actualmente no está claro cómo se propaga RaaS, pero algunos de los métodos más comunes incluyen correos electrónicos de phishing, sitios web maliciosos o anuncios emergentes y vulnerabilidades de software. pitidocomputadora informa que la operación de ransomware está actualmente activa y detalla cómo funciona el cifrador de archivos.
El cifrador requiere un token asociado con la víctima, y este token luego se verifica en línea antes de que se pueda llevar a cabo el ataque. Sin embargo, los investigadores descubrieron que esto se puede evitar desactivando las conexiones de red. Una vez que la herramienta está operativa, le da al atacante la opción de cifrar ciertos archivos o incluso todo el dispositivo. Los archivos cifrados utilizan la extensión “.sophos”.
Como puede ver en la captura de pantalla anterior, luego se le pide a la víctima que se comunique con los atacantes para descifrar sus archivos. Como era de esperar, el pago se realiza mediante criptomonedas, que son mucho más difíciles de rastrear y perseguir para las autoridades que una simple transferencia bancaria. El fondo de pantalla del escritorio en Windows también cambia en este punto, alertando al usuario que sus archivos han sido cifrados. Utiliza el nombre de Sophos.
Sophos ha podido localizar cierta información sobre los atacantes. dijo en su informe“La dirección ha estado asociada durante más de un año con el comando y control Cobalt Strike y con ataques automatizados que intentan infectar computadoras con acceso a Internet con software de criptominería”.
¿Qué puede hacer para mantenerse seguro en un momento en el que los ataques de ransomware van en aumento? El consejo es el mismo de siempre: tenga cuidado y no acepte archivos de personas que no conoce. Tenga en cuenta que incluso las personas con las que es amigo podrían ser pirateadas y difundir archivos maliciosos con el pretexto de enviarle algo. Además, recuerde que ninguna empresa de ciberseguridad legítima jamás cifraría sus archivos y le pediría que pagara por su recuperación, así que protéjase: si algo le parece mal, probablemente lo sea.
