SophosEncrypt: il ransomware che prende in giro gli esperti di sicurezza

L’esperto di sicurezza informatica MalwareHunterTeam ha pubblicato su Twitter delle informazioni riguardanti un nuovo ransomware.

Si tratta di un servizio RaaS, noco come SophosEncrypt e, per chi ha un minimo di dimestichezza con la sicurezza informatica, questo nome potrebbe non suonare nuovo. A quanto pare infatti, si tratta di una sorta di presa in giro rispetto a una delle più importanti aziende al mondo impegnate nel contesto della cybersecurity, ovvero Sophos.

In principio, l’azione del ransomware sembrava potesse essere riconducibile a un test dell’azienda. Nonostante ciò, è arrivata la pronta smentita: dietro questo tipo di operazione vi è un gruppo di cybercriminali e, il nome di Sophos, è coinvolto suo malgrado in questa campagna.

Gli stessi esperti di sicurezza, inoltre, hanno assicurato che Sophos Intercept X è attualmente già in grado di garantire la protezione necessaria per bloccare questo tipo di minaccia.

SophosEncrypt è un RaaS che sfrutta il nome di Sophos per le sue attività illecite

Secondo la ricerca dell’esperto e le analisi portate avanti dall’azienda coinvolta suo malgrado, è stato possibile comprendere l’operato dei criminali informatici.

Spacciandosi per Sophos stessa, i cybercriminali hanno attuato una campagna ransomware che, adetta degli esperti, si affida a un eseguibile datato, molto simile a un classico trojan. Lo stesso avrebbe la capacità di crittografare i file (con estensione .sophos) e generare delle note di riscatto.

Il codice con cui è realizzato il ransomware è compilato attraverso MinGW e con il linguaggio di programmazione Rust. Così come altri agenti malevoli simili, anche questo evita di crittografare cartelle specifiche, agendo in maniera specifica su file che, per estensione o nome, possono risultare importanti per la vittima.

Stando agli esperti, poi, le origini di SophosEncrypt potrebbero essere riconducibili ad hacker residenti nei paesi dell’ex Unione Sovietica. Questa deduzione è riconducibile al fatto che il ransomware sembra non funzionare su sistemi operativi impostati su lingua russa.

Gli esperti, inoltre, hanno individuato il server di comando e controllo (C2) utilizzato per diffondere il ransomware, scoprendo che questo è già stato usato in passato per attacchi simili.