Neue Ransomware: Kriminelle verschlüsseln Systeme im Namen von Sophos

Eine vermeintliche Verschlüsselungssoftware von Sophos entpuppt sich als Bitcoin einspielender Ransomware-Dienst für kriminelle Akteure.

Artikel veröffentlicht am , Marc Stöckel
Die Ransomware Sophosencrypt verschlüsselt Systeme und fordert ein Lösegeld.
Die Ransomware Sophosencrypt verschlüsselt Systeme und fordert ein Lösegeld. (Bild: pexels.com / Pixabay)

Cyberkriminelle missbrauchen offenbar den Namen des für seine IT-Sicherheitslösungen bekannten Herstellers Sophos, um eine neue Ransomware zu verbreiten. Wie Bleeping Computer berichtet, sind Sicherheitsforscher von Malware Hunter Team kürzlich auf eine vermeintliche Verschlüsselungssoftware namens Sophosencrypt gestoßen. Sophos selbst scheint dieses Tool jedoch weder erstellt noch veröffentlicht zu haben.

Sophosencrypt – ein Ransomware-Dienst für Kriminelle

Bei Sophosencrypt scheint es sich um ein Ransomware-as-a-Service-Angebot (RaaS) von kriminellen Akteuren zu handeln. So fordert die in der Programmiersprache Rust geschriebene und über die Kommandozeile gesteuerte Software ihre Bediener unter anderem dazu auf, ein dem Angreifer zugewiesenes Token einzugeben. Anschließend wird eine Verbindung zu einem Command-and-Control-Server (C2) hergestellt, der die Gültigkeit des Tokens überprüft.

Erst gestern veröffentlichte Sophos selbst einen Bericht über die Schadsoftware, in dem das Unternehmen darauf hinweist, dass die IP-Adresse des C2-Servers in der Vergangenheit bereits mit über das Hackertool Cobalt Strike durchgeführten Angriffen in Verbindung stand.

Hat dieser Server bestätigt, dass das Token gültig ist, so fragt Sophosencrypt weitere Informationen wie eine E-Mail-Adresse, eine Jabber-Adresse sowie ein für die Verschlüsselung genutztes 32-stelliges Passwort ab. Darüber hinaus kann der Angreifer wählen, ob er das gesamte System oder nur eine einzelne Datei verschlüsseln lassen will. Als Verschlüsselungsalgorithmus nutzt Sophosencrypt dem Ransomware-Experten Michael Gillespie zufolge AES256-CBC.

Das Lösegeld ist in Bitcoin zu bezahlen

Die Namen aller von der Schadsoftware verschlüsselten Dateien enthalten neben dem vom Angreifer eingegebenen Token ebenso die E-Mail-Adresse sowie die Dateiendung .sophos. Nach Abschluss des Verschlüsselungsvorgangs erscheint automatisch eine Lösegeldforderung, die in Form einer "information.hta" in jedem Ordner erscheint, in der es von der Software verschlüsselte Dateien gibt.

Die Lösegeldforderung enthält ebenfalls das Token und die E-Mail-Adresse des Angreifers und fordert den Benutzer des Zielsystems zur Kontaktaufnahme auf. Das Lösegeld, dessen Höhe nicht sofort genannt wird, ist demnach ausschließlich in Bitcoin zu entrichten. Für all jene, die mit dem Bitcoin-Handel nicht vertraut sind, bieten die kriminellen Akteure ihre Unterstützung beim Erwerb der Kryptowährung an.

Wie aus dem Bericht von Bleeping Computer hervorgeht, enthält die Verschlüsselungssoftware mehrere Verweise auf eine Webseite im Tor-Netzwerk. Dort soll etwa eine Art Partner-Panel für den Betrieb des Ransomware-Dienstes gehostet sein. Für das Log-in müssen die jeweiligen Akteure ihr Token sowie ein Passwort eingeben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Holiday Special jetzt in 4K mit 60 fps

Eine bessere Story bekommt der legendär schlechte Film dadurch leider nicht. Bis heute lieben ihn einige Fans aber vor allem wegen seiner Absurdität.

Star Wars: Holiday Special jetzt in 4K mit 60 fps
Artikel
  1. Lohn und Gehalt: OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr
    Lohn und Gehalt
    OpenAI-Entwickler verdienen bis zu 800.000 US-Dollar im Jahr

    Die Firma hinter Chat-GPT zahlt im Vergleich zu Unternehmen wie Nvidia besonders gut. Erfahrene Forscher und Entwickler auf dem Gebiet sind Mangelware.

  2. Software-Probleme: Elektrischer Chevy Blazer mit Verkaufsstopp belegt
    Software-Probleme
    Elektrischer Chevy Blazer mit Verkaufsstopp belegt

    Chevrolet hat einen Verkaufsstopp für sein neues Elektro-SUV Blazer verhängt, weil die Besitzer zahlreiche Softwareprobleme gemeldet haben.

  3. USA: Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu
    USA
    Vertikale Agri-Photovoltaik lässt weiterhin Feldnutzung zu

    Das US-Solarunternehmen iSun und der deutschen Agrivoltaik-Firma Next2Sun bauen in den USA eine Solaranlage mit vertikal aufgestellten Solarmodulen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Crucial P5 Plus 2 TB mit Kühlkörper 114,99€ • Crucial Pro 32 GB DDR5-5600 79,99€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • Anthem PC 0,99€ • Wochenendknaller bei MediaMarkt • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
    •  /