SophosEncrypt hizmet olarak fidye yazılımı (RaaS) tehdidi, siber güvenlik satıcısı Sophos’u taklit ederek radarın altından geçtikten sonra ortaya çıktı.
Olay, bir dizi yayın yapan MalwareHunterTeam (@malwrhunterteam) tarafından keşfedildi. Twitter’da dört resim “‘### Şifreleme programı -SOPHOS ###’ Sophos fidye yazılımı?” Yanıt olarak, Sophos (@SophosXOps) tweet attı: “Teşekkürler @malwrhunterteam uyarı için, bunu üzerinde bulduk [VirusTotal] VT daha önce ve araştırıyordu.”
Satıcının adını kullanan ve kötü amaçlı yazılımın gerçek kimliğini gizleyen operatörler nedeniyle, güvenlik araştırmacıları başlangıçta fidye yazılımının Sophos tarafından yürütülen bir kırmızı ekip çalışmasının parçası olduğuna inanıyorlardı. Artık gerçeğin ortaya çıkması ve soruşturmanın sürmesi üzerine Sophos, “Sophos uç nokta güvenlik ürünleri için hedefli tespit kuralı” üzerinde çalışmaya başladı.
Sophos raporunda, çalıştırılabilir fidye yazılımının işlevsellik açısından biraz eski olduğunu ve daha çok “dosyaları şifreleme ve bu fidye notlarını oluşturma kapasitesine” sahip “genel amaçlı uzaktan erişim truva atı (RAT)” gibi davrandığını da belirtti. Fidye yazılımı şifreleyici Rust’ta yazılmıştır, fidye yazılımı işlemi için bir bağlı kuruluş paneline yönlendiren bir Tor web sitesine birden fazla referansı vardır ve geçmiş saldırılarda kullanılmış olan Cobalt Strike C2 sunucularına bağlı bir komut ve kontrol sunucusuna (C2) sahiptir.