Da Hacker neue Angriffsmethoden entwickeln, können nicht einmal vertrauenswürdige Namen für bare Münze genommen werden. Diesmal wird ein Ransom-as-a-Service (RaaS)-Angriff genutzt, um sich als ein Cybersicherheitsanbieter namens Sophos auszugeben.
Das RaaS, auch SophosEncrypt genannt, kann sich Ihre Dateien – oder sogar Ihren gesamten PC – aneignen und erfordert eine Zahlung, um sie entschlüsseln zu können.
Ursprünglich von MalwareHunterTeam auf Twitter gemeldet, wurde die Ransomware nun von Sophos bestätigt. Der ursprüngliche Gedanke war, dass es sich möglicherweise um eine Red-Team-Übung des Cybersicherheitsunternehmens handelte, bei der es sich um eine Testform handelt, bei der ein Expertenteam versucht, das Sicherheitssystem einer Organisation zu durchbrechen, um zu sehen, wie die Abwehrmaßnahmen Angriffen standhalten. Es stellt sich jedoch heraus, dass SophosEncrypt nichts mit Sophos zu tun hat, außer dass es seinen Namen stiehlt, vielleicht um den Leuten mehr Gewicht und Dringlichkeit bei der Zahlung zu geben.
„Wir haben dies bereits früher bei VT (Virus Total) gefunden und der Sache nachgegangen. Unsere vorläufigen Ergebnisse zeigen, dass Sophos InterceptX vor diesen Ransomware-Samples schützt“, sagte Sophos in einem twitternund bezieht sich dabei auf sein proprietäres Endpoint-Schutz-Tool.
Es ist derzeit unklar, wie sich RaaS verbreitet, aber zu den häufigsten Methoden gehören Phishing-E-Mails, bösartige Websites oder Popup-Anzeigen sowie Software-Schwachstellen. BleepingComputer meldet, dass der Ransomware-Vorgang derzeit aktiv ist, und geht detailliert auf die Funktionsweise des Dateiverschlüsselers ein.
Der Verschlüsseler benötigt einen dem Opfer zugeordneten Token, der später online verifiziert wird, bevor der Angriff durchgeführt werden kann. Forscher fanden jedoch heraus, dass dies umgangen werden kann, indem Netzwerkverbindungen deaktiviert werden. Sobald das Tool betriebsbereit ist, gibt es dem Angreifer die Wahl, bestimmte Dateien oder sogar das gesamte Gerät zu verschlüsseln. Die verschlüsselten Dateien verwenden dann die Erweiterung „.sophos“.
Wie Sie im obigen Screenshot sehen können, wird das Opfer dann aufgefordert, Kontakt zu den Angreifern aufzunehmen, um deren Dateien zu entschlüsseln. Es überrascht nicht, dass die Zahlung über Kryptowährung erfolgt, was für die Behörden viel schwieriger zu verfolgen und zu verfolgen ist als eine einfache Banküberweisung. Zu diesem Zeitpunkt wird auch das Desktop-Hintergrundbild in Windows geändert, um den Benutzer darauf aufmerksam zu machen, dass seine Dateien verschlüsselt wurden. Es verwendet den Namen und das Logo von Sophos.
Sophos konnte einige Informationen über die Angreifer aufspüren. In seinem Bericht heißt es: „Die Adresse wird seit mehr als einem Jahr sowohl mit Cobalt Strike Command-and-Control- als auch mit automatisierten Angriffen in Verbindung gebracht, die versuchen, mit dem Internet verbundene Computer mit Krypto-Mining-Software zu infizieren.“
Was können Sie tun, um in einer Zeit, in der Ransomware-Angriffe zunehmen, sicher zu bleiben? Der Ratschlag ist derselbe wie immer: Seien Sie vorsichtig und akzeptieren Sie keine Dateien von Personen, die Sie nicht kennen. Denken Sie daran, dass sogar Personen, mit denen Sie befreundet sind, gehackt werden und bösartige Dateien unter dem Vorwand verbreiten können, Ihnen etwas zu senden. Denken Sie außerdem daran, dass kein seriöses Cybersicherheitsunternehmen jemals Ihre Dateien verschlüsseln und von Ihnen eine Zahlung für deren Wiederherstellung verlangen würde. Schützen Sie sich also – wenn etwas nicht stimmt, ist es das wahrscheinlich auch.
Empfehlungen der Redaktion